Mauro Conti
Mauro Conti (1978) is sinds november 2019 deeltijd hoogleraar Cybersecurity aan de faculteit Elektrotechniek, Wiskunde & Informatica (EWI). Zijn specialisme is 'Veiligheid en privacy van moderne informatie- en operationele technologieën'. Een belangrijk doel van zijn aanstelling was het uitbouwen van de nog jonge Cybersecurity-onderzoeksgroep.
In de slipstream van de ontwikkeling van (mobiel) internet verliep de carrière van Conti zeer voorspoedig. Dit resulteerde onder andere op zijn 39e in een aanstelling als hoogleraar aan de Universiteit van Padua (Italië). En recent (2022) is hij voor zijn brede verdienste geëerd met een Ridderorde van de Italiaanse Republiek. Als wetenschapper en onderzoeker is hij verbonden aan verschillende universiteiten (onder andere ook de Universiteit van Washington). En als adviseur is hij betrokken bij verschillende organisaties en overheden. Zo is hij niet alleen lid van de Raad van Advies Safety & Security Institute bij TU Delft, maar ook lid van het Blockchain Expert Panel van de Italiaanse overheid en Academisch adviseur voor de ontwikkeling van ondernemerschap. Dit laatste omdat zijn naam mede is verbonden aan enkele ondernemingen en startups, zoals SPRITZ (een Security en Privacy Research Group), SPRITZMATTER, CHISITO en Dyaloghi.
Er was een urgente noodzaak om een topwetenschapper en pionier als Mauro Conti aan te trekken, meende TU Delft destijds. Met name vanwege de groeiende impact en relevantie van cybersecurity op het maatschappelijke leven, en de noodzaak om als Europa een onafhankelijke onderzoeks- en kennis-positie te verwerven op dit gebied. Tegen die achtergrond werkte Conti aan een testbed (testomgeving) voor een veiliger internet en aan cyberveiligheid.
Het internet van de toekomst
Het huidige internet is gebaseerd op TCP/IP-netwerkarchitectuur. Dit is niet optimaal veilig en voor de toekomst, met toenemend dataverkeer, ook zeker niet voldoende. Het alternatief is een netwerk gebaseerd op ICN-architectuur. ICN staat voor InformatieCentrumNetwerk. In vergelijking met traditionele IP-netwerken is ICN vele malen efficiënter, veiliger en veel beter toegerust voor mobiel dataverkeer.
Een veilige overgang mogelijk maken
‘In de afgelopen jaren heb ik kunnen werken aan een coëxistentie testbed,’ vertelt Conti. Hiermee wordt onderzocht hoe een TCP/IP en ICN-netwerkarchitectuur naast elkaar kunnen bestaan. Dat is nodig om een absoluut veilige overgang naar een toekomstig internet mogelijk te maken. ‘Hiervoor ontwerpen we dus eerst een complete,
veilige coëxistentie-architectuur. Met nieuwe oplossingen voor alle geïdentificeerde kwetsbaarheden van het internet. Inclusief mogelijkheden om eventuele cyberaanvallen het hoofd te kunnen bieden,’ legt Conti uit. ‘Zo’n veilige coëxistentie-architectuur wordt eerst in een gevirtualiseerde omgeving gebruikt en uiteindelijk geïmplementeerd in de echte wereld.’
WhatsApp beschermen tegen cyberhacks
Op het gebied van cyberveiligheid is Conti met name bezig geweest met het veilig gebruik – en de inbreuk daarop! – van pincodes en WhatsApp. ‘Wat Machine Learning en beveiliging betreft, heb ik een aanvalsplan bedacht om pincodes te reconstrueren die mensen invoeren terwijl ze de typende hand met de andere hand bedekken,’ vertelt Conti. ‘Daaruit bleek dat het afschermen met alleen de hand niet effectief is. Kwaadwillenden kunnen alsnog de pincodes reconstrueren. Effectiever is om het gehele toetsenbord af te schermen.’ Een andere aanvalsmethode die Conti ontwierp, is bedoeld om te onderzoeken in hoeverre gedetailleerde informatie over de locatie van een WhatsApp-gebruiker – bijvoorbeeld de kamer waarin hij/zij zich bevindt – achterhaald kan worden op basis van een ingesproken spraakbericht. De resultaten van deze beide onderzoeken zijn in 2022 gepubliceerd.
‘Het uitbouwen van de jonge Cybersecurity-onderzoeksgroep aan de EWI-faculteit beschouw ik als een van mijn beste prestaties ooit,’ zegt Conti over de impact van zijn aanstelling. ‘Om vanaf nul te komen tot een internationaal gerenommeerde onderzoeksgroep met gepassioneerde jonge onderzoekers.’
Aanjager van onderwijs en onderzoek
Eén van de argumenten om Conti aan te trekken was zijn grote internationale netwerk, dat een vliegwieleffect zou kunnen hebben op zowel onderzoek en onderwijs, als op innovatieve co-creatie met andere partijen. Die belofte is ruimschoots waargemaakt. Mede onder zijn leiding is een groot aantal collegereeksen opgezet. Zoals een Executive Master Cybersecurity samen met Rijksuniversiteit Leiden, een cursus over CS4265 Computer- en netwerkbeveiliging, seminars en webinars voor studenten en jonge onderzoekers. Hierbij worden ook toponderzoekers van de Universiteit van Padua, en van andere universiteiten en onderzoeksinstituten betrokken.
Significant verbeterde positie van TU Delft
‘Tijdens mijn colleges nodig ik andere onderzoekers uit om hun werk te presenteren,’ zegt Conti daar zelf over. ‘Zo ontstaat er een verbinding tussen studenten en onderzoekswereld. Op deze manier kon ik ook nieuwe samenwerkingsmogelijkheden en de internationalisering bevorderen. Zo werken studenten van hier aan hun proefschrift bij de Universiteit van Californië. En heb ik een Erasmus+ uitwisselingsovereenkomst op kunnen zetten tussen Padua en de TU Delft.’ Mede hierdoor groeide de onderzoeksgroep met bachelor- en masterstudenten, PhD’s en postdocs en is de positie van TU Delft in onderzoek naar cybersecurity significant verbeterd. Dit valt onder andere af te leiden uit het grote aantal symposia en congressen dat afgelopen jaren naar Delft is gekomen. Ook het feit dat Conti als Local Principal Investigator betrokken is bij onderzoeksprojecten van de Europese Commissie, straalt positief af op de positie van TU Delft. Evenals het feit dat hier vaak grote industriële namen aan zijn verbonden, zoals Ayden, Siemens, Fujitsu, Unilever, Thales, Renault, Philips, Intel, Cisco, enzovoorts.
Voor het welzijn van iedereen
Nieuwe cybersecurity-oplossingen zijn nodig voor maatschappelijke vraagstukken zoals de beveiliging van sociale netwerken, van authenticatie-methoden en van organisatie door profilering van gebruikers van (mobiele) apparaten. Met het oog op geopolitieke ontwikkelingen is het bovendien belangrijk dat Europa hierin digitale autonomie verwerft, met onder andere een onafhankelijk Europees cybersecurity-ecosysteem. ‘In feite gaat mijn onderzoek over de veiligheid en privacy van alle Nederlandse en Europese burgers,’ zegt Conti. ‘En het verbeteren daarvan volgens GDPR- en nationale wetgeving. Mijn onderzoek richt zich op de ontwikkeling van technologieën en (gebruikers)vaardigheden om de veiligheid van kritieke infrastructuren en technologieën te verbeteren. En van operationele technologieën in de praktijk, zoals cyberveiligheid van zelfrijdende voertuigen. Voor het welzijn van iedereen is het belangrijk dat er onderzoek wordt gedaan naar technologieën die de cyberveiligheid kunnen verhogen,’ benadrukt Conti nogmaals de urgentie ervan.
Conti’s Personal Passion Pride
‘Natuurlijk valt er altijd nog wat te wensen. Zo hoop ik bijvoorbeeld op extra financiering; we zitten hiervoor in de laatste fase. Dat is voor een impactvol project om de infrastructuur van het internet aan te pakken, om het gebruik ervan nog veel veiliger te maken. Het lastige is dat cybersecurity vaak een ‘after thought’ is, iets waaraan men pas achteraf denkt. Maar juist met security-aspecten moet je al vanaf de eerste ontwerpfase rekening houden.’
TU Delft is katalysator geworden
Met een investering vanuit het TU Excellence Fund voor twee PhD’s en een postdoc, en voor een cyber-physical system lab als onderdeel van het 'Do loT Field Lab' kon Conti bij de TU Delft aan de slag. De afdeling werd in de loop van de jaren een katalysator voor een landelijk onderwijsprogramma over cybersecurity en kreeg bovendien steeds meer impact binnen de Haagse Security Delta en internationale netwerken. ‘Ik heb kunnen helpen om TU Delft meer zichtbaarheid te geven’, zegt Conti. ‘Onder andere door het organiseren van internationale evenementen in Delft. De TU Delft is nu nog meer een gevestigde naam in cybersecurity en kan wereldwijd zorgen voor meer groei en aandacht voor dit onderzoeksgebied. Ook door het opleiden van de volgende generatie cyber security engineers.’
De laptop van de journalist
Onderzoek op het gebied van cybersecurity is community-werk en ‘trial and error’, zegt Conti regelmatig. Een langer lopend project is onderzoek naar het kunnen horen wat iemand typt. Dus luisteren naar iemand die op een toetsenbord aan het typen is en op basis van het geluid reconstrueren wat de inhoud van het getypte is. ‘Toen een journalist een interview wilde, vroeg hij vooraf of we dit tijdens het gesprek konden testen, zodat we konden laten zien dat dit inderdaad mogelijk is. Daar werden we erg nerveus van,’ vertelt Conti lachend. ‘We hebben daarom vooraf uitgezocht wat voor soort laptop deze journalist zou gebruiken, zodat we even konden oefenen…’ Zie de video hiernaast.