‘I’ll Be There for You! Perpetual Availability in the A8 MVX System.’ Dat is de titel van een paper waarmee Alexios Voulimeneas, assistent-professor van de Cyber Security Group van de TU Delft en zijn drie co-auteurs onlangs de prestigieuze Paper Award met Artifact hebben gewonnen op de Annual Computer Security Applications Conference (ACSAC). Het onderzoek combineert twee belangrijke elementen in de cybersecurity: beveiliging en beschikbaarheid van systemen.
Door Sarala Jelgersma / Beeld: TU Delft
Voor Alexios Voulimeneas is het jaar 2025 uitzonderlijk goed begonnen, met een vaste aanstelling als assistent-professor bij de Cyber Security Group van de Technische Universiteit Delft. Eerder mocht hij al de Paper met Artifact Award van de Annual Computer Security Applications Conference (ACSAC) toevoegen aan zijn trackrecord. De paper beschrijft hoe Multi-Variant eXecution-systemen (MVX), een uitgebreide verdedigingstechniek, aangevuld kunnen worden met checkpoint/restore. Hierdoor wordt beschikbaarheid van je computersysteem gecombineerd met sterke beveiligingsgaranties. Zo kunnen kritieke infrastructuren niet alleen worden beschermd tegen aanvallen, maar wordt ook de overlevingskans van de geleverde diensten vergroot.
Vooraanstaande conferentie
ACSAC is een van de oudste en meest vooraanstaande conferenties op het gebied van computerbeveiliging. De eerste editie werd gehouden in 1985. De conferentie brengt toonaangevende onderzoekers en een diverse groep beveiligingsprofessionals uit de academische wereld, industrie en overheid samen om de nieuwste resultaten en onderwerpen op het gebied van cyberbeveiliging te presenteren en te bespreken.
Tijdens het vierdaagse congres worden voordrachten en workshops gehouden, beoordelen vakgenoten technische artikelen en zijn er discussies en panelgesprekken. Dit alles met een focus op het centrale thema: het onderzoeken van praktische oplossingen voor computer- en netwerkbeveiligingstechnologieën.
Kritische systemen
Het gebruik van MVX-systemen is al jaren een bewezen effectieve en efficiënte beveiligingstechniek. “Wat we doen, is dat we in de code van een programma op low-level-niveau kleine variaties schrijven”, legt Voulimeneas uit. De functionaliteit van het systeem blijft daarbij in alle versies intact. Vervolgens worden de verschillende varianten gelijktijdig gerund op verschillende platformen. Het is voor hackers extreem moeilijk om alle varianten gelijktijdig aan te vallen.
Het stoppen van een systeem bij een cyberaanval is een rigoureuze oplossing.
“Je kunt het vergelijken met virussen. Wanneer twee mensen in contact komen met hetzelfde griepvirus, kan het gebeuren dat de een ziek wordt en de ander niets merkt”, geeft hij als voorbeeld. “Hoewel de fabrieksinstellingen bij mensen bijna identiek zijn, is een hele kleine variatie al voldoende om een groot verschil te maken.” In de beginjaren werd de beveiligingstechniek daarom ook wel ‘biodiversity inspired security’ genoemd.
Voor veel kritische infrastructuren is het een veelgebruikte beveiligingstechniek. “Het gaat dan bijvoorbeeld om webservers, databases of browsers, allemaal systemen die vaak de ruggengraat zijn van bedrijven”, aldus Voulimeneas. “Dit zijn systemen die door miljoenen mensen worden gebruikt en die vaak bestaan uit complexe codes. Dit is ook de software die vaak het doelwit is van hackers.”
> LEES OOK: Nieuwe Europese cybersecuritynormen gepubliceerd
Amputatie bij detectie
Cybersecurity is op dit moment primair gericht op het stoppen of voorkomen van cyberaanvallen. “Bij de huidige netwerksystemen is het vaak zo dat bij de signalering van een hack of bug het systeem wordt gestopt”, vertelt Voulimeneas. “Dat is vaak een effectieve maar ook rigoureuze oplossing. Het is een beetje alsof je een ziekte detecteert in je arm en dan direct overgaat tot amputatie. Het lost het probleem op, maar brengt ook een hoop schade mee.”
Cyberaanval op TU/e
Zo kan er belangrijke data verloren gaan en zorgt het uitvallen van een systeem voor problemen. Dit werd bijvoorbeeld zichtbaar toen op 12 januari van dit jaar de Technische Universiteit Eindhoven (TU/e) slachtoffer werd van een cyberaanval. Om de impact van de aanval zo veel mogelijk te beperken, werd het ICT-netwerk offline gehaald. En hoewel de hackers er niet in slaagden om systemen te gijzelen, documenten te versleutelen of data te ontvreemden, waren de gevolgen voor studenten en medewerkers van de universiteit substantieel. Zo hadden ze tijdelijk geen toegang meer tot hun e-mail, het onderwijssysteem en de samenwerkingstool Microsoft Teams. Maar ook praktisch veroorzaakte de aanval problemen. Het parkeersysteem van de campus was gekoppeld aan het netwerk en ook de kassasystemen van de kantines werkten niet meer. Uiteindelijk lag ook het onderwijs enkele dagen stil en moesten tentamens worden verschoven.
Onmisbare diensten
“We zijn er in Nederland heel erg aan gewend dat alles werkt en alle diensten beschikbaar zijn. Maar stel dat de software waarmee we onze satellieten aansturen, wordt aangevallen en we de controle over de satelliet kwijt zijn en daarmee onze communicatie met bijvoorbeeld hulpdiensten verliezen. Dan is het van groot belang om zo snel mogelijk de controle terug te krijgen om de informatie en netwerken weer beschikbaar te maken voor iedereen.”
De paper, met de toepasselijke titel I’ll Be There for You! Perpetual Availability in the A8 MVX System richt zich dan ook op de kritische infrastructuren zoals webservers, databases en browsers. “Allemaal systemen die de ruggengraat vormen van organisaties wier diensten onmisbaar zijn voor miljoenen mensen.”
Van links naar rechts: Alexios Voulimeneas, André Rösti en Michael Franz op het symposium ACSAC in Honolulu, Hawaï.
Hard werken en geluk
Voulimeneas schreef de winnende paper samen met Stijn Volkaert, assistent-professor aan de KU Leuven, en met Michael Franz en André Rösti, respectievelijk professor en promovendus aan de Irvine Universiteit van Californië. Voulimeneas noemt de verkregen award bescheiden ‘een combinatie van hard werken en geluk’. Maar feit is dat de erkenning benadrukt hoe belangrijk en baanbrekend de bijdragen van de cyberbeveiligingsonderzoekers zijn voor de beveiliging van de kritieke systemen van de toekomst. “Het is een extreem prestigieuze prijs die zeker zorgt voor een goed trackrecord”, geeft Voulimeneas toe. “We zijn zelf bevooroordeeld omdat het ons werk is. Dus het is belangrijk om dit soort papers in te dienen bij conferenties, waar het wordt gelezen en geëvalueerd door professionals met kennis van zaken.”
Safe states
Voor hun onderzoek creëerde het team checkpoints in de beveiligingssoftware. “Deze checkpoints worden ook wel safe states genoemd. Bij een aanval of bug grijpt het systeem automatisch terug naar de laatste safe state om vanaf daar te herstarten. Dit betekent dat de functionaliteiten van het systeem beschikbaar blijven voor de gebruikers, iets wat van enorm belang is bij kritische infrastructuren”, legt Voulimeneas uit.
> MEER OVER BEVEILIGINGSTECHNIEKEN: Security Management nummer 2
Experimenten
Tegelijk met de paper stelden de auteurs ook een openbaar software-artefact beschikbaar. Hiermee konden degenen die de evaluatie deden, experimenten uitvoeren en de resultaten uit de paper reproduceren. Dit versterkte de validiteit van de inzichten en de conclusies in de paper. Voulimeneas: “De research is getest in realistische omgevingen en met realistische workloads.” Het testen van oplossingen in realistische scenario’s is een belangrijk onderdeel van het wetenschappelijk onderzoek. “Bedrijven zitten vaak niet te wachten op grote veranderingen. Daarom zijn we als onderzoekers altijd in overleg met bedrijven en overheden om een used case te krijgen om mee te werken.”
Iets catastrofaals
Voulimeneas werkt al meer dan een decennium in het veld van cybersecurity en is positief over de toekomst, ook al kan het lastig zijn om mensen te overtuigen om veranderingen door te voeren. “Zeker wanneer het gaat om preventieve maatregelen en niet om het ingrijpen naar aanleiding van iets catastrofaals. Bedrijven zijn al afwijzend als het gaat om een software-update van een half uur. Maar eerlijk gezegd is het aan ons om hen van het belang te overtuigen. Een positief, groot verschil ten opzichte van tien, vijftien jaar geleden is dat er nu naar ons wordt geluisterd en er veel meer bereidheid is mee te werken aan onderzoek.”
Positieve win-windynamiek
Deze verbetering van de interactie tussen de onderzoekers en de bedrijven zorgt volgens Voulimeneas voor een hele positieve win-windynamiek. “We worden nu ook direct benaderd door bedrijven met de vraag of mijn studenten of ik onderzoek kunnen uitvoeren en advies kunnen geven. De samenwerking met het werkveld is wat dit werk leuk maakt: samen oplossingen bedenken die een positief verschil maken.”
Volg Security Management op LinkedIn
