Europa’s drones beschermen tegen diefstal, kraken en kopiëren

Tijdens Blue Magic Netherlands, waar drones, chips en autonomie het zichtbare hardwareverhaal domineerden, maakte Emproof een ander punt: het echte strijdtoneel is software - en die is verrassend eenvoudig te stelen.

“Feitelijk zijn wij hier om embedded drones, en embedded devices in het algemeen, te beschermen tegen diefstal, kraken en kopiëren,” zei Andreas Thull, Director of Business Development bij Emproof, bij de aftrap van zijn pitch. Drones mogen dan het uithangbord zijn van het huidige defensiedebat, betoogde hij, maar de beslissende laag zit vaak verborgen in de firmware.

Van luchtframes naar algoritmen

Thull schetste een markt die snel verschuift. Drones worden steeds centraler in defensie – “in Oekraïne zien we dat duidelijk” – maar hij verwacht ook een golf aan civiele toepassingen die nog moet loskomen. In beide werelden verschuift het concurrentievoordeel weg van hardware.

“Binnen engineering is hardware natuurlijk belangrijk,” zei Thull, “maar we zien een duidelijke trend richting het belang van software, omdat software echt bepaalt hoe de drone werkt… en dat is het daadwerkelijke concurrentievoordeel.”

Precies daarom is die laag cruciaal. “Dat betekent echter ook dat ze zeer kwetsbaar is voor aanvallen — voor mensen die proberen de software te stelen of te hacken,” vervolgde hij. In de praktijk gaat het dan om hacken, het uitbuiten van complete vloten en regelrechte klonen: het stelen van het ‘brein’ van een platform en dat elders opnieuw opbouwen.

Serie

Blue Magic Netherlands

Lees hier al onze artikelen over het Blue Magic-event

Bekijk serie

Reverse engineering wordt goedkoper

Het probleem is niet alleen dat aanvallers gemotiveerd zijn. De tools worden beter en verspreiden zich snel. Thull legde het basisproces uit: ontwikkelaars compileren broncode tot een binaire versie, flashen die op een device, waarna een aanvaller de firmware extraheert en door decompilers en reverse-engineeringtools haalt.

“Er is een goed voorbeeld van een tool die onlangs door de NSA is uitgebracht. Die is open source,” zei hij, “dus werkelijk iedereen kan hem gebruiken, of je nu expert bent of niet.” Het resultaat is geen perfecte reconstructie van de oorspronkelijke code, maar vaak goed genoeg: “Met deze tool krijg je een sterke benadering van hoe de broncode er ongeveer uitziet.”

Zodra die benadering er is, lopen de gevolgen snel op. “Als je weet hoe de broncode eruitziet, kun je in de vloot hacken, die aanvallen, of de software stelen en je eigen drones bouwen,” waarschuwde Thull.

Verharden op het laatst mogelijke moment

Het antwoord van Emproof is bewust pragmatisch: vraag klanten niet om hun software opnieuw te ontwerpen. Bescherm die op binair niveau, na compilatie, in de allerlaatste stap vóór uitrol.

“De oplossing grijpt in op één stap voordat de aanvaller zijn handen op de software krijgt,” zei Thull. “Dat betekent dat wij op binair niveau werken.” De voltooide binary gaat door Emproofs tool, MproofNix, en wat eruit komt is een getransformeerde, geharde binary die er intern volledig anders uitziet, maar operationeel exact hetzelfde functioneert.

Andreas Thull, Director of Business Development at Emproof © Nadia ten Wolde

Andreas Thull, Director of Business Development bij Emproof © Nadia ten Wolde

“We transformeren de binary volledig. Die ziet er compleet anders uit dan voorheen,” lichtte Thull toe. “Dat maakt integratie eenvoudig, omdat we niet met broncode hoeven te werken. We zitten letterlijk in de allerlaatste stap van de softwareontwikkeling.”

Voor embedded systemen erkende hij dat overhead cruciaal is. “Geheugenoverhead is een groot probleem in de embedded wereld en onze oplossing is juist zeer efficiënt. We werken met overheadniveaus van 10 tot 20 procent, en het is volledig configureerbaar.”

“Werkt het nog wel?”

Elke technologie die binaries transformeert, roept dezelfde vraag op: gaat er iets stuk, zeker in safety-critical omgevingen? Emproofs sterkste bewijs van geloofwaardigheid zit erin dat het al actief is in een sector waar falen onacceptabel is. “Veel mensen denken: werkt het nog wel zoals het hoort?” zei Thull. “En ja, dat kunnen we garanderen.”

Hij wees op functionele veiligheidscertificering als het visitekaartje van het bedrijf: “We hebben al ISO-certificering,” zei hij, het hoogste niveau binnen automotive safety. En belangrijk: Emproof heeft het niet over dashboards of infotainment. “We hebben al een civiele toepassing in automotive remsystemen,” voegde hij toe.

De implicatie was helder: als het te vertrouwen is in remmen, is het te vertrouwen in missiesystemen.

Vier dreigingscategorieën, inclusief edge-AI-modellen

Thull verdeelde Emproofs beschermingsdoelen in vier categorieën:

IP-diefstal – “het stelen van je IP… het kopiëren van je software,” inclusief het “kopiëren van edge-AI-modellen”.
Sleutel- en tokendiefstal – verborgen credentials en toegangssleutels in binaries.
Kraken en omzeilen van controles – zijn voorbeeld: het omzeilen van abonnementschecks, zoals stoelverwarming in auto’s.
Dichten van kwetsbaarheden – het mitigeren van bepaalde kwetsbaarheden, zelfs als die al in de code zitten.

Die eerste categorie wordt steeds relevanter nu AI naar devices verhuist. “We zien dat steeds meer AI-modellen direct naar de edge worden gebracht,” zei Thull. “En die kunnen wij ook beschermen.”

Defensie, maar niet alleen defensie

Hoewel drones het voorbeeld waren, benadrukte Thull de bredere reikwijdte van Emproof. “Ook al praat ik hier over drones, het gaat in feite om embedded software in het algemeen,” zei hij, met toepassingen in IoT-devices, sensoren, aerospace en automotive systemen – zelfs bare-metal omgevingen zonder besturingssysteem.

Gevraagd of de tool kennis van doelhardware nodig heeft, bleef hij praktisch: het doel is dat die “overal kan draaien”, maar architectuurondersteuning vraagt een eenmalige enablement. “We ondersteunen al ARM,” zei hij, noemde aanvullende architecturen en merkte op dat een nieuw targetplatform “één tot twee maanden” kan kosten om te ondersteunen, waarna het herbruikbaar is voor volgende klanten.

Productbedrijf, geen consultancy

In de Q&A werd Emproof bevraagd op businessmodel en schaalbaarheid. Thull positioneerde het bedrijf duidelijk als productleverancier: “Wij zien onszelf als een productbedrijf, niet als een serviceprovider.”

De ambitie is een tool die klanten in essentie zelf kunnen draaien: “Je kunt hem gewoon downloaden van internet, je binary door de tool halen en er komt een beschermde binary uit.” Ze zijn “voor 90 procent out-of-the-box,” zei hij, met de resterende stappen gekoppeld aan groei en investeringen.

De inkomsten zijn abonnementsgedreven. “Een abonnementsmodel voor de hele tool,” aldus Thull. “We betalen niet per product, maar voor de hele tool; en binnen die use case kun je zoveel binaries hardenen als je wilt.”

Cruciaal daarbij: het hardenen gebeurt aan klantzijde. “We leveren de tool aan jullie, dus we hoeven jullie code niet eens te zien.”

Regulering maakt ‘nice-to-have’ verplicht

De timing van Emproof is geen toeval. Thull wees op regelgeving als marktversneller: “De Europese Unie heeft net de European Cyber Resilience Act aangenomen, die in 2027 van kracht wordt en kant-en-klare beveiliging verplicht maakt voor de hele EU.”

Compliance zal verandering afdwingen. Maar Emproofs pitch ging verder dan compliance, richting strategische concurrentiekracht. “Voor wie een stap verder wil gaan… kunnen wij die extra stap zetten door het IP van een bedrijf echt te verharden,” zei Thull, zeker waar “zeer waardevolle software” in producten zit.

De onzichtbare verdedigingslaag

Op Blue Magic Netherlands presenteerde Emproof geen drone. Het betoogde dat zonder geharde software drones en embedded systemen gedoemd zijn om gekopieerd, gekraakt of tegen hun makers gebruikt te worden.

In een defensie-ecosysteem dat steeds meer wordt bepaald door edge-AI en snelle replicatie, zou juist die onzichtbare laag wel eens de plek kunnen zijn waar het volgende concurrentievoordeel — en de volgende kwetsbaarheid — wordt beslist.