Computable.nl
  • Thema’s
    • Carrière
    • Innovatie & Transformatie
    • Cloud & Infrastructuur
    • Data & AI
    • Governance & Privacy
    • Security & Awareness
    • Software & Development
    • Werkplek & Beheer
  • Sectoren
    • Channel
    • Financiële dienstverlening
    • Logistiek
    • Onderwijs
    • Overheid
    • Zorg
  • Computable Awards
    • Overzicht
    • Nieuws
    • Winnaars
    • Partner worden
  • Vacatures
    • Vacatures bekijken
    • Vacatures plaatsen
  • Bedrijven
    • Profielen
    • Producten & Diensten
  • Kennisbank
  • Nieuwsbrief

Sjoemelsoftware: een nieuw fenomeen in de security-industrie?

29 oktober 2015 - 12:435 minuten leestijdAdvertorialSecurity & Awareness
Redactie Computable
Redactie Computable

De wereld reageerde geschokt op het nieuws dat de altijd zo gedegen Duitse auto-industrie ‘grundlich’ met de opgegeven verbruikprestaties van dieselauto’s hebben gesjoemeld. Sjoemelen op zich is niets nieuws en bestaat al sinds mensenheugenis. Maar sjoemelsoftware is een nieuw woord, dat volgens mij een grote kans maakt om in de volgende uitgave van Dale’s woordenboek te worden opgenomen.

Over deze blogger

Matthijs Ros (34) is hoofd cybersecurity binnen Capgemini Nederland. Hij is gespecialiseerd in de domeinen cybersecurity, intelligence en risk management. Matthijs adviseert organisaties op strategisch niveau over cybersecurity en leidt de digitale transformatie van bedrijven en organisaties in veilige banen. Matthijs is getrouwd en heeft twee kinderen. Hij woont in Amsterdam.


Is sjoemelsoftware een nieuw fenomeen in software-land? Het antwoord zal voor velen die zich niet bezig houden met softwareontwikkeling nogal schokkend zijn: nee, dit is totaal niets nieuws. Al begin jaren ’90 kwamen diverse fabrikanten van grafische kaarten, waaronder S3, ATI en nVidia, in opspraak doordat zij de drivers van hun grafische kaarten hadden aangepast. Daarmee konden ze detecteren dat er een benchmark op hun kaarten werd gedraaid, om vervolgens op slimme wijze de benchmarkresultaten te manipuleren.

Smartphones en koelkasten

Ook fabrikanten van mobiele telefoons manipuleerden hun software met als doel testresultaten te beïnvloeden. Apple zou in 2003 met gemanipuleerde software van de G5-processor hogere prestaties hebben willen aantonen dan hun rivalen die een Intel Xeon-processor gebruikten. En in 2014 werd Samsung betrapt op het manipuleren van de benchmarks van de Galaxy S4 en Note 3 smartphones. Ook sommige tv’s van Samsung zouden in laboratoriumtesten minder stroom verbruiken dan ze in werkelijkheid deden. HTC bekende zelfs openlijk dat de benchmarkprestaties van de One M8 waren opgeschroefd. Maar in het verleden zijn ook Japanse koelkasten voorzien van sjoemelsoftware, die kon detecteren dat een koelkast werd getest. Het energieverbruik van die koelkasten werd tijdens de test verlaagd door met behulp van sjoemelsoftware de ventilator en de defrosting tijdelijk uit te schakelen. Het resultaat? De gewenste A+ normering.

Auto-industrie

En nu is het dus de beurt aan de autofabrikanten om betrapt te worden op sjoemelsoftware. Zij hebben hiermee de emissietesten voor dieselmotoren gemanipuleerd om hun auto’s van een milieuvriendelijker label te kunnen voorzien. De in auto’s aanwezige Electronic Control Module (ECM) kent twee instellingen: één voor het meten van emissies in een testomgeving en een ander voor het rijden onder normale rijomstandigheden. De sjoemelsoftware onderdrukte onder normale omstandigheden de voorzieningen die moesten zorgen voor een beperking van schadelijke uitstoot van gassen. Slim bedacht, maar niet netjes en met grote reputatieschade als gevolg.

Sjoemelen met security

Nu rest de vraag of er ook met security-software wordt gesjoemeld. Of zouden de benchmarks in staat zijn om dit te detecteren? Een recent voorbeeld is het gesjoemel met de firmware van bepaalde netwerkrouters om achterdeurtjes te openen voor belangstellenden. Het lijkt dan ook aannemelijk dat er ook met security software kan worden gesjoemeld. Welke garantie geven leveranciers van security-software dat hun producten het beveiligingsniveau bieden dat ze beloven? Worden de resultaten van de door hen uitgevoerde security-testen niet rooskleuriger voorgesteld dan dat ze in werkelijkheid zijn? Kunnen wij als gebruiker controleren of de security-software aan bepaald eisen voldoet? Bestaan er benchmarks om dit te aan te tonen?

Virusscanners

Als we virusscanners als voorbeeld nemen, dan kun je je als gebruiker afvragen tegen welke virussen de software beveiliging biedt en in welke mate de scanner in staat is om alle virussen te ontdekken en ze onschadelijk te maken. Maar voor dit doel bestaan er geen benchmarks. Het is erg lastig om hiervoor een benchmark te ontwikkelen, omdat de samenstelling van virussen voortdurend verandert. Bovendien wil je als fabrikant niet publiceren welke virussen gebruikt zijn om de software te testen. Daarmee zou je de kwaadwillenden in de kaart te spelen. Sommige leveranciers van benchmarksoftware die diverse antivirusscanners testen, kijken zelfs alleen naar performance-parameters zoals installatietijd, scantijd en boottijd. De internationaal erkende laboratoria testen de verschillende producten weliswaar meermaals per jaar, maar als wordt gebenchmarkt op het aantal gevonden virussen moet men wel beducht zijn op false positives (software onterecht aangemerkt als virus).

Beveiliging is relatief

Opvallend is dat bij de koelkasten, auto’s en tv’s alleen gesjoemeld is met een van de secundaire productspecificaties die gekoppeld zijn aan een bepaalde certificering. In veel gevallen is dit de hoeveelheid gebruikte energie. Sjoemelen aan security-software betekent echter dat aan de primaire functie van het product wordt gerommeld, namelijk de detectie van virussen. De vraag is of dit verschil het minder aannemelijk maakt dat er ook met security-software wordt gesjoemeld. Maar voor de gebruiker is het sowieso lastig, zo niet onmogelijk, om te kunnen vaststellen dat er gesjoemeld is met de resultaten. Kortom, bij elk testrapport van security-producten is het daarom verstandig om de daarin gemelde resultaten met enige scepsis te bekijken.

Deel

    Inschrijven nieuwsbrief Computable

    Door te klikken op inschrijven geef je toestemming aan Jaarbeurs B.V. om je naam en e-mailadres te verwerken voor het verzenden van een of meer mailings namens Computable. Je kunt je toestemming te allen tijde intrekken via de af­meld­func­tie in de nieuwsbrief.
    Wil je weten hoe Jaarbeurs B.V. omgaat met jouw per­soons­ge­ge­vens? Klik dan hier voor ons privacy statement.

    Whitepapers

    Computable.nl

    Staat van Digitale Connectiviteit binnen de Bouw- en Installatiebranche 2025

    Digitale connectiviteit is de kern van veel processen in de bouw en volgens insiders van strategisch belang voor de toekomst van de sector. Waar sta jij?

    Computable.nl

    GenAI: Veiligheidsrisico of wapen tegen dreiging?

    Wat AI betekent voor jouw securityaanpak? Alles over de risico’s en strategieën om GenAI verantwoord in te zetten.

    Computable.nl

    Bouw de AI-organisatie niet op los zand

    Wat is de afweging tussen zelf bouwen of het benutten van cloud?

    Meer lezen

    Computable.nl
    OpinieSecurity & Awareness

    5 stappen ter voorbereiding op de verkorte levensduur van TLS-certificaten

    ActueelCarrière

    Kort: Brunel viert 50ste verjaardag, Wortell wint gunning veiligheidsregio (en meer)

    ActueelSecurity & Awareness

    Vaarwel C++ en C: VS zetten in op memory safe-programmeertalen

    ActueelSecurity & Awareness

    Cybersec Netherlands trekt op met Data Expo

    Cloudsecurity
    ActueelSecurity & Awareness

    De zware uitdaging van cloudbeveiliging

    ActueelSecurity & Awareness

    Kort: PQR lijft E-Storage in, Fox-IT en Xerox it-partners van de Navo-top (en meer)

    Geef een reactie Reactie annuleren

    Je moet ingelogd zijn op om een reactie te plaatsen.

    Populaire berichten

    Meer artikelen

    Uitgelicht

    Partnerartikel
    AdvertorialInnovatie & Transformatie

    Computable Insights

    Een ai-agent die klantvragen afhandelt. Dat is een van de nieuwste troeven van softwareproducent Salesforce, dat daarmee meesurft op de...

    Meer persberichten

    Footer

    Direct naar

    • Carrièretests
    • Kennisbank
    • Planning
    • Computable Awards
    • Magazine
    • Abonneren Magazine
    • Cybersec e-Magazine

    Producten

    • Adverteren en meer…
    • Jouw Producten en Bedrijfsprofiel
    • Whitepapers & Leads
    • Vacatures & Employer Branding
    • Persberichten

    Contact

    • Colofon
    • Computable en de AVG
    • Service & contact
    • Inschrijven nieuwsbrief
    • Inlog

    Social

    • Facebook
    • X
    • LinkedIn
    • YouTube
    • Instagram
    © 2025 Jaarbeurs
    • Disclaimer
    • Gebruikersvoorwaarden
    • Privacy statement
    Computable.nl is een product van Jaarbeurs