Cyberhelden 75 - DigiD, residential proxies en AI die aanvallen niet magisch maakt

TUNE Welkom bij alweer een nieuwe aflevering van Cyberhelden. De podcast waarin we in gesprek gaan met mensen die zich bezighouden met digitale dreiging. Mijn naam is Ronald Prens en vandaag zit ik weer eens aan tafel...

met Marco Kuipers en Jelle van Haaster. Hallo. Nou, leuk jongens. Vandaag hebben we weer twee grotere verhalen. Marco gaat ons meenemen in residential proxies, oftewel gewoon thuisverbindingen die worden misbruikt als infrastructure voor cybercrime. En Jelle is weer heel erg wetenschappelijk bezig. Ze heeft een echte paper bij zich van Leonard Moshmeyer... met een behoorlijk tegendraadse stelling dat AI helpt de cyberverdediging... waarschijnlijk meer dan cyberaanvallen.

Maar eerst eventjes weer hoe het met ons gaat. Ik heb jullie nu een week niet gesproken en de nieuwtjes van de week. Maar hoe gaat het? Afgelopen weekend had ik de nacht wacht bij een bivak voor een kindervereeniging hier in de buurt. Dus die lagen op een veld te snurken met z'n allen. En ik zat toevallig met een maatje van meerdendorp. En die had issues met zijn home assistant en door modics. Want zijn home assistant-databeus was een keer stuk gegaan. Dus hij was wel eens de historische energy data kwijt. Maar hij draaide ernaast ook de modics. Dus nu was de vraag, kunnen we het van A naar B weer historisch importeren? In home assistant. En uiteindelijk wil die home assistant als de single source of truth.

Dus ja, als je een allebei nachtwacht hebt, dan zit je daar toch een beetje buiten ten niets. Je hebt allebei een laptopje mee en klaad aan het werk gezet. En op zich wel vet, want in één keer heeft hij gewoon een script gegenereren... dat gewoon de API queried van de modics en dan ook weer een historische ingest in home assistant doet. En voila, aan het eind van de nacht. Alles aan de praat, dat was wel lekker. En alle kinderen waren er ook nog? Eh, dat hebben jullie niet heel erg overgelet. Oh wacht. Haha. Nee, ik ging goed. Ja, tot slot, ik heb heel veel lol met voice chat van Claude. Want Claude heeft op iOS voice chat gelanceerd.

Dus ik zit lekker te aanwoeren met mijn telefoon. Heerlijk. Is dat goed geworden? Want Claude is wel echt slecht en vind ik nog in taal. Je ziet dat OpenAI daar wat meer heeft geïnvesteerd dan Entropic. Ja, dus de speech, de tekst gaat af en toe mis. Maar Claude begrijpt wel wat je bedoelt. Dus dan zie je de tekst eigenlijk verkeerd uitgeschreven en toch reageert hij gewoon goed op wat ik bedoel. Blijkbaar bij Jelle niet nog snel, hè? Ja, maar ja, goed. Het gaat te moeilijk met Jelle. Haha.

Moet ik zo moeilijk praten, Jelle? Haha. Nee, dus het werkt, ik vind het wel aardig werken. Alleen soms een beetje jitter op de lijn. Als de internetverbinding net slecht is dan begint hij zo te praten. En dat is wel vervelend. Oh, dat hebben jullie ook daar. Nee, ik dacht dat het alleen in Afrika was. Haha. Jelle, wat heb jij gedaan? Ik moest vorige week een mini-les geven voor de basis-kwalificatie onderwijs. Iedereen in het universiteitsonderwijs moet die kwalificatie halen. Je moet ook een mini-les geven. Je kunt daar lekker experimenteren.

Maar dan zit je hier normaal leerlingen zitten, maar er zit iemand in de zaal te observeren als het goed doet? Je hebt eerst dat je je rijbewijs haalt dat je mag lesgeven. En vervolgens moet je ook nog les-observaties doen. Dus dan moet je les geven zoals je dat normaal doet. Maar er zit of je leiding geven of de onderwijskundige zit achterin met een scoreformulier te kijken of je wel net je leerdoelen hebt verteld en dat je ze goed in gaat op de vraag naar al die juicy stuff. En aan het einde nog een keer allemaal weer aanraakt van dit hebben we besproken en dit hebben we besproken. Ja, zeker die inspirerende colleges.

Ja, nee, dus het is niet helemaal mijn stijl, maar ik vond het wel leuk die mini-les gebruikt om met Clalde en OpenAI om eigenlijk geen PowerPoint te gebruiken, maar eigenlijk een soort heel dashboard te bouwen. Dat je je PowerPoint in een soort web interface op een website zet, dus als de slides door kunt klukken en dan als de studenten een opdrachtje moeten doen, dat ze even een QR-code kunnen scannen, dan een heel kleine CTF, capture the flag, moeten doen, een CTI-report moeten lezen, OEC's moeten vinden eruit en dan vervolgens weer door naar de slides. En dat is echt wel aantraden. Ik dacht dat ik hier, als ik het zelf zou moeten bouwen, zou ik hier een paar dagen kwijt aan zijn.

Ja, maar met die fantastische GenAI-dingetjes is het drie uur werk en dan nog een uurtje testen. En dan kun je het vervolgens ook recyclen voor alle colleges in de toekomst. Dus dat was weer eentje dat ik dacht van... En als ze nou luisteraars zijn die denken, ik wil ook les van Jelle, wat moeten ze dan doen? Dan zijn ze voor harte welkom om een keer aan te sluiten bij een college. Je kunt je opgeven per college, je kunt een master doen, je kunt af en toe ook... Je zou niet eerst militair geworden of zo? Nee, zeker, ik kan ook voor Burgos. Oh ja, Burgos. Die zitten apart, links de burgers en rechts de militair.

Ja, zeker. Achterin de zaal en dan de militair. Nee, maar al iets. Geen tegeerd. Ik ben ook lekker uit Noord-Holland geweest en dat was zaterdag aan Fox Hunt gedaan. En dat is dus niet met Vossen en zo, dat doen ze hier ook allemaal. Ook toevallig was dat diezelfde dag. Maar dit was een zendertje dat dan verstopt wordt ergens in Cape Town. En die moeten ze dan met allemaal centrumateurs zijn. Die zie ik verder eigenlijk nooit. Maar nu dan wel en dan begin je op hetzelfde plek en dan moet je ze snel mogelijk zien te vinden.

Nou, heel simpel concept. Maar hoe vind je een zender? Daar heb je... De oudwetse manier is een richtingsgevoelige antennes... en dan ga je gewoon een rondje draaien en dan kijk je wanneer het naaltje op het hoog staat en zo. En als je te dichtbij bent, staat het naaltje altijd hoog. Dus dan heb je een verzwakker nodig, een alternator die je kan instellen dat hij wat minder moet doen. Ja, dat is in het begin leuk. Dus dan rij ik de berg op naar Devil's Peak en dan op de Rhodes Memorial. De grootste racist ever, maar daar hebben ze hier nog steeds een memorial van. Maar daar heb je heel mooi uitzicht over Cape Town.

En dan kan ik met mijn richtantennen, dan wist ik ongeveer de richting. En daar rij je als een gek heen. En dan heb ik ook nog vijf antennes, mooi in een perfecte cirkel op mijn auto staan. En door looptijdverschillen van radiosignalen kan je dan heel goed ook de richting bepalen. Met Kraken heeft zo'n vijf SDR-tjes in één doosje gestopt. Marco herkent dit. En als je de timing perfect doet, kan dat ding met een hele leuke app,

dat rijdt gewoon op je tablet, op je iPad, wijst hij waar je er zit en dan rij je erheen. Eigenlijk is er geen lol meer aan dan. Behalve dat je die array maken op je auto is nog het moeilijkste. Vooral als je een glazen dak hebt en dat zijn magneetvoetjes. Het is me gelukt. We waren tweede, want we zaten een uur lang vast in de file. Dat had ik wel erg als geslacht genomen. De congestion is verschrikkelijk. Ik heb gezegd volgende maand weer een en dan ga ik gewoon niet meer de snelweg op.

En ik heb nog gespeeld met... Ronald, op de fiets? Nee, met de fiets, met al die antennes op mijn hoofd. GELACH. Ik heb ook nog gelukkiger achter mijn toetsenbord kunnen zitten. Gewoon lekker bij het haardvuur, want het wordt wat kouder. Maar we hebben hier voor de search en rescue groep alarmering via Telegram. Ik weet niet of ik dat al eens verteld heb. En jij hebt het al een moedje ingericht hoor. Ja, maar ik ben zo'n bagger. Dus ik heb nu push over eroverheen, die met API kost. De cloud heeft het allemaal gebouwd voor me.

Push over geeft nu een notificatie op mijn telefoon. En pas als ik hem wegdruk, stopt hij mijn herriemaken. In plaats van dat je een keer een piepje krijgt van er is een groot alarm. Nou, dit werkt. En dan laat ik veel trots in de anderen zien en die zeggen, het is ingewikkeld, ik gebruik gewoon Telegram. GELACH. Maar ik zit ook al heel veel Telegram kanalen, want er gebeuren heel veel fouten dingen op Telegram. En als je een beetje bij wil blijven, is dat leuk. Dus ja, die mensen hebben alleen maar dit op Telegram.

Dus je kan heel makkelijk ook die notificatie keihard zetten daarvoor. Oké, dat was het. Slapge auhoer. Dan gaan we nu naar het echte nieuws. En dat zijn de drie korte items. We hebben natuurlijk over Digi-Day, daar is veel over te vertellen. RSI als de nieuwe AI-hype term en Kali 365. Fishing, waarbij niet je wacht hoort, maar je Microsoft token de hoofdprijs is. Maar ik begin er al eventjes. Ik doe de aftrap en we moeten Willemijn bedanken jongens. Ja, zeker.

Heeft keurig gevolgd wat het bureau toetsing investeringen geadviseerd heeft om te zeggen, laten we maar niet doen die overname. Grote vraag achteraf is natuurlijk altijd, heeft alle hijs zijn nou geholpen? Of was dit ook zonder al die klokkenluiders en actiegroepen en petities ook gebeurd? Maar uiteindelijk is dus besloten dat Solfinity, de ooit Nederlands, maar toch eigenlijk een stiekemal Britse partij, niet over mag genomen door de Amerikaanse partij Kindle. Maar wat ik wel een interessant facet vind, is dat het dus tegengehouden op basis van de WOZT

en dat staat voor de wet Ongewenste Zeggenschap Telecommunicatie. Eigenlijk trouwens gek dat ze onder deze wet beoordeeld worden, want ze zijn helemaal geen telecomoperator. Voor mij is een telecomoperator iemand waarbij iedereen lid kan worden. Dan ben je een openbare of publieke telecomoperator. Daar is het ook oorspronkelijk voor bedoeld om KPN niet in Mexicaanse handen te krijgen. Maar goed, het is dus gebeurd op grond van die wet en die heeft eigenlijk maar één grondslag op waarop je het kan tegenhouden. En dat is dan ook de grondslag dat er veiligheidsrisico's zijn.

Dus dat moet dan ook wel echt de reden zijn. Dus daarmee hebben Nederland ook uitgesproken en ons kabinet dat wij doodsbang zijn voor Amerika. En het gaat om Amerikaanse jurusdictie over Kindle en daarmee onze Digi-Day en de daaruit voortvloeiende Cloud Act risico's. En daar is het dat we ook niet kunnen galanderen, ook niet technisch, om te voorkomen dat de Amerikanen toegang krijgen tot de Digi-Day-data of systemen of het ook wel uit kunnen zetten omdat ik het meest reële risico zou vinden.

In één van de eerdere episodes had je ook uitgewerkt onder welke gronden je nog meer zou kunnen tegenhouden. Ja, maar dat is onder een andere wet. Dat is die wet VIVO en die is later gekomen. Dat heeft Fox nog een beetje misschien de oorzaking gehad, omdat wij de Fox Crypto verkocht hebben aan de Engelse. Dat is de veiligheids- toets investeringen, fusties en overnames. En die is breder en daarbij kan ook gewoon naar continuïteitsrisico's gekeken worden. Dus bijvoorbeeld de financiële wantoestand van Kindle zou dan een alvordoende reden zijn. En dat is natuurlijk veel makkelijker voor een kabinet om te zeggen van

ja, we gaan dit niet doen, want kijk nou eens even wat die koper, hoe die ervoor staat met allemaal onderzoeken aan hun broek en hoge mensen die naar huis gestuurd zijn, ontslagen zijn, omdat ze hebben zitten groeien met de cijfers. Dus het moet wel zijn omdat we bang zijn voor de Cloud Act-risico's. En we hebben ook wel iets van reactie gezien. De Amerikaanse ambassadeur heeft een tweetje eruit gedaan dat hij hier niet blij mee was. Maar krijgen we het rapport van BTI nog te zien? Ja, dat zou mooi zijn. Nee, dat blijft vertrouwelijk, helaas. En nou ja, dat is ook maar logisch, want je wil beschrijven wat de risico's zijn.

Je wilt niet uitkouven van ander wat wij als zwakheden zien in onze infrastructure. Dus dat blijft vertrouwelijk. En het is ook niet de eerste keer dat een overname is tegengehouden. Dat is in 2024 ook gebeurd. Het bleek uit een jaarverslag van 2025. En we weten niet eens welk bedrijf het was. Dit is dan nog bekend welk bedrijf tegengehouden is, maar dat is geheim. Dus dat is... Gooi het in onze mailbox vragenetcyberhelpen.nl. Dan kunnen we dat volgende week nog eventjes bespreken. Ik ben heel benieuwd hoe dat gaat lopen. Maar dit is wel goed. Je vertrouwt, dat heeft echt een soort tweede-orde effecten uiteindelijk ook op...

Nou, ik hoop investeerders die misschien ook wel zeggen... ja, we gaan gewoon niet in Nederlandse partijen een equity innemen, want dat gaat later misschien issues opleveren. Ja, of het zou inderdaad zijn dat je inderdaad het Europese ecosysteem met name aan wil spreken. Maar ja, dan heb je weer over dat het ecosysteem van venture capital, durfkapitaal in Europa en in Nederland nog even van de grond moet komen. Ja, we gaan verder. Marco. All right. Je hebt last van je elleboog, zie ik. Heb ik last van mijn elleboog?

Of je pols. Oh, je pols. GELACH Zou die duurden, even zeggen. Maar RSI is zo'n verzonde ziekte, he? Dan doe ik heel veel mensen pijn. GELACH Ooit had iedereen het. En nu blijkt gewoon dat het tussen je oren zat. Ja, maar je hoort er ook niks meer over, he? Over RSI. Als zij dat de aandoening. Maar goed, het is niet waar ik het hierover ga hebben. GELACH Ja, in maart zette een van de bekendste AI-onderzoekers te wereld een programma uit je online, een stuk op 30 regelscode.

Gewoon een GitHub. En hij liet dat twee dagen draaien op zijn pc, op een klein taalmodel. En in die twee dagen deed het programma 700 experimenten. En het past tussen eigen trainingscode aan. Kijken of het model er beter van werd. Heel de verbeteringen en gooide de rest wat dan niet goed was, weg. En het vond zo een aantal trucjes die op elkaar stapelden. En zo maakten ze de training 11 procent sneller. En kort samengevat, het was dus eigenlijk gewoon AI die zijn eigen training verbeterd of eigenlijk zichzelf improveden zonder mensen tussen.

Dat was het werk van André Carpati, een van de co-founders van OpenAI die nu bij Entropic werkt. En dit is dus eigenlijk waar RSI om gaat. Recursive self-improvement staat ervoor. Dat is wel recursieve zelfverbetering. En TechCorns heeft hier dus een artikel over gepubliceerd. Dat in een paar maanden tijd dit nu een beetje de hype-term is. Wat voorheen dan AGI was zo'n hippe-term, de Artificial General Intelligence, oftewel het benaderen van werkelijke menselijke intelligentie. We hebben dan nu RSI als een superhippe nieuwe term, waar heel veel bedrijven naartoe werken.

Er zijn allerlei mensen die er dus ook serieus op inzetten. Dus Richard Socher, bekend van de zoekmachine u.com, die lanceerde deze matige bedrijf met de naam Recursive Superintelligence, met als doel RSI bereiken. En Carpati zelf bouwt aan auto research, waarbij hij met z'n rare agents kleinere modellen wil trainen. Maar dit is toch levensgevaarlijk? Op wat voor manier houd je daar dan nog controle op? En dat het de goede manier zichzelf verbeterd? Ja, dat is een hele goede vraag. Het gelukkig is er een stuk dus ook vrij nuchter erover, want niemand zegt we zijn er al.

Dus de modellen zijn eigenlijk nog een beetje, we noemen het maar even stuurloos. Er zijn nog steeds mensen nodig die de richting aan geven, zeggen wat is het doel, waar moet je focussen, waar moet je naartoe werken. Ook zelfs het praktischste model van Anthropic, Meetos, die laat zien dat, eigenlijk, ze hebben 18 engineers daar gelopen gevraagd, van kan dit nou een mens vervangen, ook in de training. En één daarvan zei ja, en de rest zei meh, je moet nog steeds alles controleren, je moet instructies opvolgen. Met andere woorden, de mens eigenlijk nog net zo nodig. Het is wel interessant, dat bedrijven ernaartoe werken.

Dus aan de ene kant is heel mooi, is in tegelijkertijd ook een beetje een nachtmerring, een beetje Terminator-achtige vibes. Maar ik vind het wel de moeite waard om even aan te halen, want dit speelt nu. En ook wel in The Fun Fact in 1965 beschreef de Britse wiskundige I.J. Good precies dit fenomeen, wat hij Intelligent Explosion noemde, in een paper dat heet Speculations Concerning the First Ultra Intelligent Machine. Dan zie je dat 60 jaar later we eigenlijk daadwerkelijk daar een doel voor ogen hebben. Alleen ik ben wel benieuwd waar het heen gaat,

want als je self-improving AI hebt, dan krijg je dan zo'n soort super intelligent machine. Een implicatie voor cyber security? Zie je daar dingen? Nou vooral als het allemaal nog slimmer en sneller wordt. En we zijn te laat met adoptie. Maar als je iets van een... Je ziet ergens een buffer overflowtje en je wilt er door een exploit van maken. Dan kan je toch zeggen begin hier eens mee, ga eens lekker klooien. Die code elke stapje verder komt en uiteindelijk gewoon daadwerkelijk jouw code laat runnen. Dat is toch... Ja vet. Je krijgt een beetje die pipeline van Cloudflare voor vorige week,

dus dat je heel veel agents die elkaar constant aan het verbeteren zijn, waardoor je snel een stap of zo kunt maken. Maar dit gaat echt fundamenteel over het trainen van de model. Dus eigenlijk dat je tegen Cloud 4.8 zegt van, oké, ga nu jezelf verbeteren, maak zelf een 4.9 die nog slimmer is. Dus het gaat niet zozeer over het uitwerken van exploits, maar echt dat je zegt, reach the next step in intelligence, zeg maar. Ja, en dat is iets wat nu wel actief wordt nagejaagd, dat dat kan. En als het echt goed werkt, dan gaat het heel hard natuurlijk. Dan gaat het heel hard. Alleen iedereen zegt ook nog, we zijn er nog niet.

Je moet toegang hebben tot de weights van modellen, zeg maar. Dit is een aantal close weights modellen, zeg maar, waar je geen backend toegang hebt tot de onderliggende logica van modellen. Dus je moet wel iets hebben liggen wat je ook kunt verbeteren of wat je zelf in beheer hebt. Ja, nou goed, kijk, als je een open source model hebt, dan heb je wel eigenlijk gewoon toegang tot de data set, zeg maar. Dan heb je alles en dan kun je daar van daaruit verder gaan. Alleen nog even een goede pipeline qua energie en stroom. Ja, dit is het vooral. Dat zeggen ze ook. Dit gaat heel erg ook van resources afhankelijk zijn. Dan hoor je weer verhalen over dat de SpaceX heel ver is met data centers in space, zeg maar.

Dat zal in ieder geval al problemen af. Als je ziet, China doet data centers in de zee zetten, in de oceaan zetten, want dat koelt zo lekker. Oh, cool. Wordt de oceaan wel iets warmer van? Ja, ik wou zeggen, het gaat zo luid. Oké, we gaan eventjes... Jij bent Wezen Fish, Jelle? Ja, dit vond ik een vet nieuwtje. Nou, vet nieuwtje en een beetje stom, want we hebben natuurlijk binnen Saarbescheurd, je hebt iedereen aangeleerd. Als je een linkje hebt, check of het echt het domein is van Defender, van je bank, van je Microsoft.

Zorg dat je dat helemaal fixt. Nou, nu is er een campagne, Kali 365, die gebruikt eigenlijk een feature, FBI waarschuwt hiervoor, die gebruikt die feature, dat als je op je televisie inlogt, dat je alleen maar simpele code hoeft in te voeren. Integersen tot een paar jaar geleden, dat je je hele wachtwoord op je afstandsbediening aan het invoeren was en vervolgens foutje maakte, en vervolgens weer dat nog een keer deed en dat je een half uur bezig was om je wachtwoord in te voeren. Dus dan hebben ze die code feature. En wat die code doet is, zeg maar, jou authenticeren bij Microsoft en zeggen van,

hey, als je deze code, en die komt overeen, dus je ziet die code op je tv, je gaat op je mobiele telefoon, scan je die QR-code, ga je naar de website, vul je je code in en jouw televisie is bij deze geauthenticeerd bij... Nou, Microsoft is misschien een beetje gek, maar... YouTube, whatever. YouTube. Superhandig. YouTube, goedje. Inderdaad, superhandig. Dit willen we allemaal. Nou, en vervolgens is er nu een aanvallersgroepering die die codes gebruikt om je te fishen. Dus jij ziet ineens op je mobiel oppoppen van, hey, authenticeerd deze dit verzoek.

En vervolgens wat die aanval op de achtergrond heeft gedaan, is een login gestart, net zoals jij dat op je televisie zou doen. Vervolgens krijg jij een phishing mail met die devicecode en de instructie. Jij gaat vervolgens met die code, ga je naar Microsoft toe, voert die code in en vervolgens authenticeert Microsoft jou bij dat apparaat van de aanvaller. En jij ziet gewoon een fantastische Microsoft webpage die er echt exact uitziet, want het is gewoon de officiële pagina. Maar waarom zou ik zo'n proces starten als ik helemaal niet mijn tv aan het inrichten ben?

Dus zij hebben een heel aantrekkelijke phishing lure, dus de mail ziet er gewoon heel goed uit. Maar dit zou je willen, dat mensen denken van, hey, ik heb geen sessie gestart, ik ben niet aan het inloggen op mijn televisie. Maar omdat dit tegenwoordig, deze feature, wordt best wel veel gebruikt. Ja, het is superuse-friendly. Het is superuse-friendly. Dus het is wel een succesvolle aanval die op grootschaal gebruikt wordt. Vandaar dat de FBI zegt, pas hierop. En het is heel stom hier aan, natuurlijk, dat we, wat ik eerder zei,

we hebben iedereen aangeleerd checken het domein. Ja, dit domein is het Microsoft-domein. Dus dit is het legitieme domein. Maar ja, die aanvallers hebben een smerig plannetje bedacht dat ze dat toch kunnen misbruiken. Dus dat vond ik interesting. Maar ik hoef niet bang te zijn om mijn tv in te loggen. Als ik het gewoon zelf doe, kan ik het rustig doen, toch? Ja, natuurlijk 100 procent. Als je het zelf doet, wel, inderdaad. Maar als je inderdaad vreemde codes in een keer in je inbak ziet, wij zijn zo paranoïden dat we dat zelfs bij legitieme pogingen misschien al... GELACH Al een klein beetje sprichtig zijn.

Als je de security code op eens veranderd in WhatsApp, bijvoorbeeld. Ja, zeker. Maar het heet Kali 365, dus het gaat over Office 365, of Microsoft 365. Maar dat doe ik niet om mijn tv. Dus ik mis nog wat. Dat ook voor printers. Je hebt het voor allerlei tools. Je hebt ook voor command line interface, die je snel wilt authenticeren. Dus van alles en nog wat. Dit wordt niet alleen meer gebruikt. Dat krijg ik dan met ASCII Art en QR code. Hoe doe ik dat op een command line? Op de command line opent hij je browser, zodat het naar de loginportaal van de browser gaat. En dan start die hele login flow, zeg maar.

En dan wordt het weer gereadirect naar een lokale listener. We gaan naar de hoofdonderwerpen. Eerst het grote verhaal. Marco. Jij volgt het NCSC altijd op de voet. En jij was heel klotstig wat ze gedaan hadden. Vertel. GELACH Dan gaan we er niet uitknippen hoor. Nee, goed. GELACH Oké, lekker. Maar goed, volgende week donderdag 28 mei maakte de politie het NCSC samen bekend dat ze een enorm botnet hebben platgelegd. En wat betekent dat dan? 17 miljoen besmette apparaten.

Voor elke Nederlander 1. Voor elke Nederlander 1, ja. Tegenwoordig is het 18 miljoen toch? Maar dat is het, zet het salt op de slag. GELACH Oké, ik moet er zelf van lachen. Oké, maar goed. Dus 17 miljoen apparaten aangestuurd vanaf ongeveer 200 servers. En die servers stonden hier in Nederland. Goede infrastructuur, zullen we maar zeggen. De zaak begon klein. Een kleine, ik weet niet hoe groot die is. Een beveiligingsonderzoeker tippte het NCSC. En het NCSC schakelde gelijk de politie in.

En team Cybercrime in Den Haag pakte het op. En bij een hosting provider zijn uiteindelijk meerdere servers in beslag genomen. Die provider heeft het netwerk daarna zelf ook nog offline gehaald, omdat het voor criminale doelenlenen werd gebruikt. Volgens Security.nl gaat het om AASOCS, een zogeheten residential proxy netwerk. Dus die heeft dat gealtribueerd. Oké, jij gaat weer een beetje snel allemaal voor mij. Dus even vanaf het hul, want ik wil het wel goed snappen. Wat is daar nou dan offline gehaald? Dat proxy netwerk, al die botjes zijn die verdwenen.

Wat hebben ze nu gedaan? Ja, ze hebben dus technisch gezien een botnet offline gehaald. 17 miljoen besmet apparaten die op afstand aangesluit kunnen worden. Maar het botnet werd gebruikt als proxy netwerk. Oftewel, die apparaten werden verhuurd als een doorgeefluik voor andermans internetverkeer. Het botnet is dus de infrastructuur en de residential proxy. Dus eigenlijk zeg maar het product. Oké, en waarom zou ik zoiets willen kopen? Residential proxies, die werken eigenlijk zeg maar dus als een ertussenstation voor het verkeer. Dus in plaats van dat bijvoorbeeld een aanvaller die iets slechts wil doen op het internet,

die gaat dan niet rechtstreeks naar een website, maar via een ander punt. En dan lijkt het te komen zelfs dat punt een beetje vergelijkbaar met VPN's. Of Tor inderdaad. En kijk, het mooie is dus aan een residential proxy, het mooie vanuit een aanvallers perspectief, is dat het dus niet een datacenter of VPN of Torex is nodig, toch infrastructuur die vaak meer gemonitord wordt, maar gewoon een consumentenlijn, iemand thuisrouter of een telefoon of een tablet, smart tv of whatever. That's the nice thing, want voor de buitenwereld ziet het er gewoon uit als bijvoorbeeld een gewone Nederlander die op het internet zit. Een aanvaller kan ze ook zelfs kiezen.

Geef mij een Nederlandse residential proxy en dan kom je eigenlijk vanuit een Nederlandse thuis IP. En dan lijkt het gewoon op normale consumentenverbindingen in plaats van allemaal gehuurde infrastructuur of... Of Tor exit node. Of Tor exit node, maar toch de loop wat meer oplegt. En dat is ook gelijk vervelend. Want als verdediger, want ja, weet je, als je kan zeggen ik moet een datacenter IP adressen blokkeren ofzo, that's fine, right. Maar als je een residential IP blokkeert, Nou vaak zitten er meerdere mensen, meerdere gezinnen, meerdere abonnementen op één IP adress.

Dus als je dat gaat blokkeren, blokkeer je mogelijk of eigen klanten of meerdere... Ja, maar die aanvallers gaan gelijk naar een van die andere IP adressen ook. En dat ook, want ze switchen binnen een auto. Dat is echt best wel lastig. Jelle, ik zie je hebben vraag aan het gezicht. Ja, zeker. Ik zit met dat cijfer 17 miljoen, want in mijn hoofd gaat het inderdaad ook van dat is voor iedereen in Nederlander eentje. Natuurlijk hebben we meerdere apparaten per personus ook. Volgens mij zijn het niet 17 miljoen in Nederland. Dus die 200 servers die draaien in Nederland.

Alleen die 17 miljoen die zitten gewoon all over the place. Dus dat is niet per se alleen Nederland. En heb je 200 servers nodig om 17 miljoen bordjes te bedienen? Dat is wel veel toch? Of is de politie gewoon een beetje grof had werk gegaan, omdat je ze gewoon een hele hostel in hem heen gegaan? Dat hangt er vanaf hoe ze die hele tunnels opbouwen enzo. Naar die residential procties. Als dat over die 200 servers gaat, als je dan veel klanten hebt, dan moet je best wel wat traffic verstouwen via al die dingen. Dus ik kan me voorstellen dat er wel wat flinke data pipeline en wat resources nodig zijn, maar dat is een beetje grokker.

Ik weet niet hoe de infrastuur eruit zag. En fysieke service of gaat over VPS of vind ze ook al, weet ik veel, een Kubernetes cluster ook al? Ook dat is een goede, daar zijn ze niet heel expliciet over. Nee. Nee. Maar ik kan me voorstellen ook iets van VPS's en dat soort dingen, dus gewoon via virtuele instances die gehuurd worden. Maar ja, hoe ontstaat dan zo'n netwerk? En dan heb ik gewoon netjes de website van NCSC erbij gepakt. Dat kan eigenlijk, het zij schrijft, in drie manieren. Dus eentje is bewust en vrijwillig. Je installeert zelf thuis gewoon proctiesoftware,

bijvoorbeeld om zelf geoblockades te omzeilen. Dus jij maakt zelf eigenlijk bijvoorbeeld dat verbinding via iemand anders dan die pederhessen in Duitsland. Ik noem maar wat. En in rel daarvoor deel jij jouw verbinding ook weer met anderen. En daar kan van alles tegenover staan. Soms een vergoeding, soms een reputatie. De tweede optie is dat je het onbewust vrijwillig doet. Dus bijvoorbeeld je gebruikt een gratis VPN dienst of een streaming dienst of een appje. En in de kleine letter staat dat jij jouw verbinding te beschikking stelt aan andere mensen. Dat heb je dan niet echt in de gaten, maar er kan zo zijn dat je telefoon opeens

een soort pivoting point hoort. En de derde manier is onbewust en onbekend. Oftewel, je hebt een apparaat die is besmet met malware, waar een proxy functie op zit. En daar merk je dus niks van. Heb bijvoorbeeld een of ander IAT apparaat wat je in huis hebt. Ja, dan wordt die gebruikt in dat botnet. Kan je dan ook als je als je zo'n proxy wil gebruiken, kan je ook zeggen ik wil nu gewoon een bordje hebben die in Nederland rijdt en zelfs nog in een bepaalde stad of zo om daar vandaan te komen. Kun je het zo bestellen? Je kon in ieder geval wel de regio, dus zeg maar de land bestellen wat ik begrepen heb. Alleen het is een beetje waar hoe het exact in elkaar zit.

Of dat je ook op stadsniveau of iets dergelijks. Kan doen, maar ja, zeker. Je kon je kon kiezen. Maar op de website, zeg maar, claimen ze meer dan 150 locaties, dus geolocaties en meer dan 7 miljoen IP-adressen. Dat is best groot. Maar het ziet er gewoon uit als een legatieme website, Aasox. Maar dat is dus op de achtergrond opereren zij dus. Ja, iets minder legatiem. Ja, oké. Ja, ja, ja, klopt. Dus wat is er nou zo irritant aan? Dus de aanvaller die gebruikt maakt van zo'n residential proxy, die zit gewoon verstopt in normaal verkeer vanuit een consument IP-adresje.

Nou, waar gebruiken ze dat dan bijvoorbeeld voor? Je kunt voorstellen, misschien de distributed denial of service aanvallen. Dat platleggen van allerlei stukken infrastructuur voor phishing en spam acties of voor brute force aanvallen of ja, noem maar op. Dan lijkt het allemaal vanuit een consumenten ding te komen, wat overigens ook best vervelend kan zijn voor de eigenaar van de IP-adres. Maar goed, het verhult dus heel mooi van een technisch perspectief, maar wel weer en zij twee verkeerden. Sorry, ik zei dus dat het legatieme website leek, totdat je dan hun adres waar ze op geregistreerd staat, zeg maar, invoert.

Dan kom je uit bij een caravoo in Express in Parijs. Oh ja, precies, ja, ja, ja, mooi. Ah, wat is dit dan? Wat vet. Oké, goed verhult. Maar ja, goed. Maar heeft dit nou nog te maken met waar we vorige week over hadden, dat Stark Industries, ook zo'n host daar waar allemaal Russische shit draaide. Waar zit de Nederlandse haak hier? Ja, voor zover ik weet, heeft het geen overlab met die Stark partij. Er wordt ook een beetje vaag gedaan over welke provider precies benaderd is.

Dat staat vast wel ergens in de comments bij security.nl, hè? Ja, dat kunnen we ondertussen wel even opzoeken. Maar goed, in Nederland komt het wel op twee manieren terug. Aan de ene kant stonden dus al die command-and-control- servers, er stond de fysiek hier. En daarnaast waren natuurlijk ook Nederlandse thuisverbindingen. Dus er werden gewoon Nederlandse IP'tjes geleverd. Inderdaad, met wat we vorige week besproken hebben. Toen was het ook een groot proxy botnet. En dat is natuurlijk geen toeval, want Nederland is gewoon een groot digitaal knooppunt. We hebben hele goede verbinding, veel hosting mogelijkheden,

veel legitieme investatuur. En ja, het maakt gewoon een mooi plekje om je te nestelen voor dit soort activiteiten. Tegelijkertijd, het is ook weer netjes opgelost, want NCSC is flink aan de slag gegaan met de politie. En voila, het botnet is verstort. Ik mis allemaal technische details die ik heel leuk had gevonden. Want er zijn denk ik 17 miljoen, dat zijn echt niet mensen die allemaal vrijwillig zelf een proxy hebben geïnstalleerd. En ik denk toch dat er een hele grote besmetting ergens geweest is. Of zei een man weer die binnengetrokken zonder dat je het door had.

En dat draait nu ook nog steeds nog, toch? Ja, en dat is een goed punt wat je aanhaalt, want inderdaad, kijk die 17 miljoen apparaten zijn niet opeens niet meer besmet. Het artikel is echt supersommeren van de politie en NCSC. Ik vermoed dat er nog meer onderzoek naar gaande is. Want als al die apparaten nog steeds besmet, als er dus malware is of whatever vrijwillig, die software draait nog steeds. En dat biekert naar een domein. En wat ik bijvoorbeeld storend vind, is dat dat niet wordt besproken of ze ook alle domeinen hebben overgenomen.

En dat betekent dat in principe, zeker met cloud, minder dan een dag een hele netwerk staat. Je hoeft alleen maar een andere server te kiezen, domein daarnaartoe te laten wijzen. En alles maakt weer verbinding. Ik vind ook die security and reporting, die je inderdaad waar ze erop hebben. Maar dat links inderdaad ook naar een blog van twee jaar geleden. Ook in dat security bedrijf inderdaad, kijk naar hoe de ASOX dan dat proxy netwerk heeft. En dat is weer dat het via libraries die gebruikt worden door niet wetende developers, zeg maar ook. Dat ze libraries hijacken en plugins om vervolgens op de achtergrond,

omdat soms ook de developers het weten, zeg maar, door de deploy te raken op allerlei apparaten. Het lijkt wel een beetje als die advertisement SDK's. Ja, exact. Ja, gewoon die smerige plugins en APIs pakketten. Hier is een mooie VPN manager SDK. Je hoeft alleen maar te zeggen VPN up. Je krijgt er alleen maar een cadeautje bij. Maar die zit nou actionable voor de gemiddelde luisteraar. Die weet alleen maar dat hij nu geen gratis VPN niet meer moet gebruiken. Haha. Zie je, daar gaat het gewoon om.

De politie wil gewoon iedereen kunnen tappen. En iedereen zit nu die gratis VPN'tjes te gebruiken en daar willen ze dat je mee stopt. Om je bang te maken. Oh kijk, ja, ja, ja. Of ze hebben nu controle over 16 miljoen apparaten. We willen meer details, politie. We willen meer details. We willen meer details. Dutch IT Army. We willen verschillende details. Ja, het is uiteindelijk voor de mensen thuis. Het is gewoon irritant. Ik denk gewoon goed na over wat voor gratis crap je installeert op je apparaat. We gaan verder naar... ...Mars Meyer. Weetenschappelijk pet weer opzetten.

Haha, zeker. We gaan van phishing via je code, naar inderdaad die residential proxies. Een stukken malware daar. Even iets meer uitzoomen misschien over Mars Meyer. Ja, dat is gewoon een academicus. Die heeft een artikel geschreven. Deception and Detection. Why Artificial Intelligence Empowers Cyber Defense Over Offenses. Dus hij zegt, verdedigers hebben meer aan AI dan de aanvallers. Hij heeft dus een stuk overgeschreven. Mogen wij dat ook lezen als we niet op een edu netjes zitten?

Ja, zeker. Deze is open access. Waarom zitten al die wetenschappers zichzelf altijd achter betaalmuren te stoppen? Je wordt toch niet betaald door die artikelen die je publieceert en dat ik nog 25 dollar moet betalen als ik een keer wil lezen? Nee, zeker. Dit is het slavernijmodel achter de wetenschap natuurlijk. Dus je hebt inderdaad een aantal grote publishers die inderdaad heel veel achter een paywall zetten. En ook voor schrikbarende bedragen. Maar ja, je ziet ook wel steeds meer dat er een open access is. De community die bezig is om steeds meer open access te publiceren.

En dat gelukkig dat er steeds vaker komt. En je kan auteursen vaak gewoon mailen en dan sturen ze het gratis toe. Want ze zijn heel blij dat iemand het echt wil lezen. Wat ik dan wel weer grappig vind, als je die paper opent. Dan staat er zeg maar in de rechter margins, dan vertie ik al geschreven download het from. En dan staat er een adres met Http. Lekker Marco. Nee, dus die heeft een artikel geschreven. Wie is het? Hij is een assistant professor, dus universitair docent aan Georgia Tech. En hij schrijft veel over onderwerpen die wij ook interessant vinden.

Dus cyberconflict, maar ook inlichtingen, de nexus daartussen, dus de overlap ertussen. Ook sabotage en eigenlijk ook constant is ja, nadenken. Leuk die technologie, leuk die cyberoperatie. Maar wat heb je er nou? Wat is het praktisch nut hiervan? Hij is ook een lekker boek uit 2024. Is geen commercial voor Lennart, maar from COVID operations to cyberconflict. Het is gewoon iemand die heel veel schrijft over de meerwaarde van cyberoperaties. Ja, of de minderwaarde, want de subversive trilemma heeft hij ook geschreven, toch?

Artikel van hem. Zeker. Ja, nou dan was hij helemaal niet zo positief. Nee, en nee, zikker. Maar als je kijkt naar dat framework wat daarin staat, daar wil ik het nu niet over hebben, maar dat framework daar, dat laat zo zien waarom je ook wel denken dat we met cyber altijd een grote boom gaan veroorzaken, dat je dat eigenlijk in realiteit niet ziet. Omdat je gewoon begrensd bent door drie dingen, door tijd, capaciteit en intensiteit. En binnen dat driehoekje moet die effecten zijn. Heel veel intensiteit, een hele grote boom, een kerncentrale oplazen ergens. Natuurlijk zul je dat niet willen, want dan, ja, dat is gewoon heel onlogisch.

En de tijd die je daarmee kwijt bent is een keer heel enorm. En de capaciteit die je ervoor nodig hebt. Nee, dus dat je zo constant bezig bent met het wegen van je middelen en welk effect kun je bereiken. Dus dat is ook van hem. Ik ga je niet meer afleiden. Je mag doorgaan. Nee, dit was echt een rabbit hole voor mijn hoofd ook. Ja, weet je wat dit artikel dan sterk maakt, vind ik, ik ben het niet helemaal mee eens, maar hij verbetert, dat AI eigenlijk verbetert beide kanten. Offensief heeft er iets aan, defensief heeft er iets aan. Maar hij zegt dat de verdediging hier structureel meer kan meewinnen

dan die aanvaller door de karakteristieken van de verdediger. Maar hoe komt hij aan die conclusie? Dat moet je nu juist even gaan vertellen, he? Ja, zeker. Dus dit is allemaal de cliffhanger. Nee, hij puzzelt wat aan elkaar en doet het empirisch. Dus hij heeft wat data eronder liggen die een beetje zijdelijks gerelateerd is, vind ik. Maar wat hij met name bekijkt en gebruikt om de conclusie te trekken, is dat de aanvaller niet in het voordeel is, wat we vaak wel denken, he? De hype-taal over we kunnen straks alles kapothekken. En daar kijkt hij naar de Mandiant Amtrands van 2025, dat de median dwell time,

dus de gemiddelde tijd dat actoren hangen in je netwerk, dus dat er een boefje, een hacker in je netwerk zit voordat die gedetecteerd wordt. Die was in 2014 205 dagen en in 2024 is die 11 dagen. Dus dat is een daling van bijna 95 procent. Dus we zijn heel goed in detecteren geworden. Ik ben dus ook benieuwd of dat die cijfers rekening hou met dat er gewoon waarschijnlijk in die tijd een enorme stijging is geweest in een aantal aanvallen die ook minder professioneel waren, wellicht. Dus of dat eigenlijk, zeg maar, als je stelde waren in 2014 10 dingen die zo lang duurde,

of dat er dan nu eigenlijk stiekem nog steeds heel veel operaties zijn die gewoon zo lang voortgang vinden, maar dat zijn nog steeds gewoon hele goede actoren. Ik heb exact hetzelfde punt met die dwell time, dat ik denk van oké, sinds 2014 zijn er veel meer actoren actief van, weet je, crime, activisten, useful idiots, proxies, government operated, non-governmental actors, allerlei allerlei groeperingen die het internet hebben ontdekt en dat die zeg maar voor zorgen dat hier een soort die availability bias is. Daar is heel veel data over en die drukt zeg maar de lange dwell time weg. Van bijvoorbeeld Saltifoon, die twee jaar in de netwerk heeft gehangen.

En we hadden laatst nog eentje waar ik de naam van kwijt ben, die ook al een jaar. Ja, precies, die er ook al drie jaar actief was. Dus ik denk, dus die die daar heb ik een beetje een punt bij met die met die dingen. Maar hij gebruikt het om te laten zien van hey, het is niet alleen de aanvallers die in voordeel zijn. Dus en hij zegt ook, er is geen systematisch bewijs dat de top tier, dus ik heb het echt over statelijk funderd APT actoren, Russen, Chinese, weet ik veel Amerikaanse actoren, dus de top tier aanvallsactoren

dat die AI gebruiken om op grote schaal exploitatie en hun hack operaties te automatiseren. En waar de reporting wel zit op dit moment, is dat aanvallers AI gebruiken, maar voor eenvoudige taken, namelijk het beheer, een beetje verkening doen, dat allemaal. Oké, maar gebruikt hij het dus om te zeggen dat op dit moment de verdediger aan het winnen is? Hij gebruikt die dwell time om aan te geven van hey, de verdediger die heeft op dit moment het voordeel en niet per se de aanvaller. En hij focust daar met name op, dus de automation gap,

de automatiseringsdelta die er zit tussen de aanvaller en de verdediger. Hij zegt oké, de cyberaanval bestaat voor hem met name uit kwetsbaarheden vinden, het vervolgens die kwetsbaarheden exploiteren en naar binnen komen binnen het netwerk. Vervolgens ben je binnen het netwerk, wil je persistent zijn, dus controle krijgen, behouden, zorgen dat je alle geitenpaadjes vindt binnen het netwerk en volgens je effect produceren. Het effect kan zijn dat je spioneert, iemand probeert beïnvloeden of het netwerk saboteert. Dus dat is de aanvaller. En dan zegt de verdediger, die moet die kwetsbaarheden proberen te vinden verwijderen.

Hij moet detecteren als iemand in loopt de viespeuk in zijn netwerk en vervolgens de gevolgen daarvan mitigeren en het netwerk weer upbringing herstellen. Hij zegt dus oké, waar de cyberaanval een soort van gecharacteriseerd wordt door creatieve misleiding, de zorgen dat je een systeem iets laat doen wat het systeem niet voor ontworpen is, is AI op dit moment niet goed in. AI is niet goed in creativiteit. AI is ook niet goed in misleiding, daar zitten veelste netjes voor nog.

En die verdediger heeft gewoon een hele set aan taken die vrij simpel zijn, die vrij overzichtelijk zijn, niet simpel, maar technisch simpel, hoge frequentie, onderzoek doen, grote data hoeveelheden. Je kan naar dezelfde soort input kijken om te zien of je gehackt wordt of niet. Ja, precies. De manier hoe je binnenkomt maakt niet heel veel uit. Het is een vaste datapunt dat je inderdaad gewoon weet dat je gewoon anomalie detectie wilt doen. Hij zegt dus daarom een aanvaller zal ook niet wat verder in de kilt zijn.

Dus je bent binnen in dat netwerk en vervolgens ga je naar de kroonjuwelen toe. Je gaat naar de mailbox van iemand toe, een besluitvormer bestuurde ergens en dat een aanvaller waarschijnlijk nooit zal zeggen, weet je, ik doe dat gewoon even met klood, ik heb geen uurtje over, ik ga gewoon klood even vragen, en je eneemureert even alle aanvalsvectoren en test even wat werkt. Toch? Oké, ik heb hier te weinig ervaring voor in de praktijk, maar ik zou het wel willen experimenteren, want I guess... In de praktijk man, je hebt alleen maar zitten hekken je hele leven. Ja, maar niet met een LLM. Oh, oké.

En ik moet wel zeggen, ik ben wel heel geshamieerd van hoe effectief ze mee kunnen werken, alleen nieuwe dingen laten uitvogelen, dat zie je gewoon, daar zijn ze gewoon inderdaad. Dat is die creativiteit, zeg maar. Marco is heel progressief in dat hij het gewoon zou willen testen, maar ik denk wel, als je het echt op het scherpste van de snee de cyberoperaties doet... Nee, tuurlijk niet. Je wil niet wat je codex en klood af en toe ziet doen, als je aan het ontwikkelen bent van, oh, ik heb dit geprobeerd, dit werkt niet, ik ga even iets nieuws proberen, ik zet even een subagent aan om vervolgens dit even te doen. En ook al heb je goede guardrails, dat hij ook wel een...

Wat is het? Een try on error af en toe doet. We moeten het niet romantiseren dat de mens dan wel in één keer perfect doet. Uiteindelijk moet je als mens ook dingen proberen. Het enige is, misschien zit je als mens natuurlijk veel meer op wat is zichtbaar? En klas, op dit moment doet gewoon, weet je wel, die zit helemaal niet over opzek na te denken. En dat is het crap allemaal, hoe ben ik stil? Als je zal zeggen, ja, zal ik deze 30 wachtwoorden ook nog proberen? En dan zo, oh, inderdaad, het werkt niet, we zijn gedetecteerd. Zullen we het nog een keer proberen? Maar ik denk wel, kijk, creativiteit komt bij de mens van de dame.

Ondertussen zit je wel met klot ernaast, gewoon lekker heel snel eventjes van alles genereren wat je nodig hebt, wat jij bedenkt, wat hij moet maken voor je. Ik denk dit en ook dat je dan, zeg maar, bijvoorbeeld stel je de heit uit offline, dat je dan configs geeft of whatever en dan mee laat kijken in offline mode, zeg maar. Dus niet live in de dingen. Dat je wel in controle blijft van de acties. Maar je kan toch 20 keer sneller werken dan 5 jaar geleden? Zeker. En dit is het punt wat er in het artikel, dat gaan we een beetje door naar de conclusie, maar het artikel een klein beetje mis is inderdaad, van oké, die ziet dat zo heel binair, van die top tier actoren

die zullen hier minder aan hebben verderop in de killchain. Dus voor het beginwerk zullen ze er wel iets aan hebben, maar later niet meer. Voor echt de on-target activiteit dat je echt ergens komt binnen proberen te komen. Maar inderdaad, dat je voor alle andere activiteiten, gewoon bedrijfsvoering, software bouwen, eigenlijk alle ondersteunende activiteiten aan het hacken, daar gaat het eigenlijk niet op in. En dat daar met name de meerwaarde zit voor die top tier actoren. Als je ervoor kunt zorgen dat een hacker 50 procent van de tijd minder kwijt is, aan alle overhead of wacht op software developers of dingen schrijven, dat die gewoon dan door kan, dan heb je alsnog een hele grote meerwaarde

voor die top tier actoren. Ik vraag me wel af wat er zou gebeuren als je openclaw zou deployen voor je target. Dat je zegt, nee, maar jullie willen toch openclaw, die zullen door agents. En dan koppelt met alles en dan laat je hem werken voor jou. Dus dat je extra loopt via openclaw, dat hij gewoon alles voor jou doet. Ik vind het interessant. En hack MCP. En hack MCP dat je gewoon kunt zeggen, haal even de opbrengst op. Het ook mooi, maar nog mooier is gewoon dat die agent dat voor jou gewoon fixt. En dat hij zegt van, ik zoek wel een weg naar buiten, dat is goed joh. En ik zie dat gebruikers standaard dit doen.

Dan doe ik dat toch ook. Zoiets. Heerlijk. Interesting. Ja, weet je wat, dus uiteindelijk de conclusie is wel, hij zegt van, oké, hoe hoger de inzet, hoe groter het verschil. Dus hij zegt, inderdaad waar wij het net over hadden, waar we het misschien niet helemaal met hem eens zijn, is bij die hoge risico operaties. Dus je bent als statelijke groepering of als APT, bejaand functioneerend in het netwerk van een tegenstander, dat je daar waarschijnlijk eerder zult kiezen om niet te automatiseren, niet genatief AI te gebruiken, dat je daar gewoon met de handjes dingen aan het doen bent.

Dus dat vervolgens daar dus de verdediger, die dus wel AI kan gebruiken, een voordeel heeft ten opzichte van die aanvaller die het vanuit risico overwegingen niet doet. En dat noemt hij dus die capwaard overal. Maar hij zegt van, in het scherps van de snede ga je niet een AI agent gebruiken of zo, of AI een beslissing laten nemen, ga ik nu hierin loggen. Maar ga je dat als verdediger wel doen? Ga je als verdediger zeggen, ja, ik heb hier mijn productienetwerk, weet je wel, een deployer of open cloud, die gaat gewoon automatisch overal memory dumps maken, die gaat dat allemaal analyseren, die trekt even de hele netwerk plat omdat we niet rekening hadden gehouden met dat het zo veel

bandbreedte kost. Bijvoorbeeld, ik bedoel, het is makkelijk om te filosoferen over dat je als aanvaller opzeg allemaal dat soort dingen. Alleen als je dan naar de verdediger kijkt en gewoon de uptime van je netwerk en de beschikbaarheid van je platforms, ga je dan voor bijvoorbeeld red hunting activiteiten zomaar agents laten rammen tegen je netwerk. Eerst mooie kritiek, dit zit er eigenlijk niet op die manier in, dus dat je inderdaad ook als verdediger heb je constraints in het gebruik van geen TWA, daar gaat hij veel minder op in dan bij de offensive. Dus het is een mooi artikel wat eraan komt voor jou, Marco. Ik ga een nieuw artikel schrijven wat hier tegenin gaat en dan publish ik hem

achter een paywall. Een paywall, ja. Oké, heel mooi allemaal. En wat is nou de conclusie die de gemiddelde luisteraar moet trekken? Offensieve hackoperaties die hebben wat te winnen, maar dat verdediger niet machteloos is en dat verdediger ook zeker iets aan heeft. En ons punt en mijn punt hierbij is wel tegen die top tier actoren had je toch al een issue tegen die grote statelijke actoren. Je ging je toch wel wat lastig uit je uit je netwerken halen. En het stomme is dat die mensen die dit gaan gebruiken, dat dat met name dus de

minder geavanceerde actoren zijn. Die gaan dus op grotere schaal dit soort operaties kunnen doen. Maar die lower tier gaat er wel gebruik van maken. Cybercrime en allerlei dingen waar we op dit moment heel veel last van hebben. Ransomware en weet ik veel wat. En die gaat dit gebruiken en niet om je geavanceerde tooling of zo daar en zero days gebruiken. Nee, het gaat gewoon over die en deze die zij vervolgens sneller kunnen oprationaliseren en kunnen schalen. Nou ja, en iedereen die eigenlijk van helemaal niet normaal iets op een prompt kan of zo, die kan nu wel heel makkelijk met Clout ernaast toch een beetje

serieus hacker gaan worden. En dat denk ik ook en en dus dat we dat zelfde gegeven eigenlijk hebben van kun je duurt gemiddeld organisaties nog steeds 35 dagen om te patchen. Ja, dat zorgt dus wel voor dat je dat je die 35 dagen kwetsbaarder bent, dat er meer actoren zijn die iets met die kwetsbaarheid kunnen dan in het verleden waren zonder genetie van jou, dus dat je daar nog steeds een issue hebt. Dus het. Daar gaat het met name impact hebben, denk ik. Maar hoor ik nou toch een beetje bij jou wel doorklinken dat in tegenstelling tot Marshmair.

Jij je wel zorgen maakt over AI in cyber? Ja, ja, ik denk dus dat we dat het te ongenuanceerd is dat hele. Nou, waar we het over hebben gehad, zelfs top tier. Dus als je een hackoperatie doet op het scherp van de snede, ga je nog steeds iets hebben aan AI, wat jij beschreef, Ronald, een soort co-pilot, nasial of een offline stand-alone ding die heel veel zorgen uit handen neemt. Echt hoe wij met z'n drie ook allerlei software bouwen. Dus dat gaat versnellen en. Dus het aantal mensen wat kan gaan hacken of wat normaal zou gaan hacken, dat is echt veel groter natuurlijk.

Denk ik wel. Ik ben benieuwd. Ik denk dat dat eenzelfde trend gaat kennen als de en het is natuurlijk wel een beetje gaande, maar dat het hetzelfde is als met software development. Het zal niet ineens zijn dat allerlei mensen kunnen gaan hacken. Je moet nog steeds een beetje begrijpen wat M-Map is en dat misschien zelf doen. Alleen als Cloud al je M-Map output kan gaan parsen en dan zeggen, oh, dit is trouwens het netwerkpad. Ja, dat scheelt je zoveel zoekwerk en tijd. Precies. Ik zit er heel te wachten dat Cloud gewoon mijn shell overneemt. Ik zie nu alleen maar te copypaste de hele dag. Hij verdont het. O echt? Heb je niet Cloud clean en dan gewoon zeggen van hier is volledig toegang tot mijn systeem?

Dat heb ik nog niet gedaan, maar. Ah. Dat vind ik ook een beetje eng. Ja toch? Oh ja, oké. Ik moet zeggen, bij mij zijn alle remmen los. Ik heb wel mijn data gebacked naar een andere locatie. Nu is het gewoon succes. Ga maar lekker. Oké. Ik heb er wel moeite mee nog. Ik ben ook wel ouder. Hé jongens, we hebben genoeg gekletst over alle AI-hackers. En weet ik van al meer. Dit was het weer voor vandaag. Oké jongens, alle luisteraars, als je een vraag hebt, stuur hem op naar vragenincyberhelding.nl. Je merkt al, deze stukjes hebben we niet zelf verzonden.

Het is allemaal dankzij de mailbox waarin dit soort leuke suggesties zijn voorkomen. Je mag het ook hebben over gasten. Feedback vinden we ook altijd leuk om te lezen. Ook al herhalen we dat niet per se hier altijd in, want soms hebben jullie gewoon een kaart gelijk en dan geven we dat niet toe. Elke week kun je naar een nieuwe aflevering van Snipers Helden luisteren. Om te gesprekken met Cybele kan je terug luisteren via Spotify en je favoriete podcast app. En vergeet ook niet te subscriben, want dan krijg je vanzelf een notificatie als de weergevormde aflevering klaarstaat. Soms op broekstdag, soms op donderdag. Veel dank voor het luisteren en graag tot de volgende keer.

Hé tot de volgende keer. Tot de volgende. TV Gelderland 2021