Baanbrekend onderzoek TU Eindhoven naar cybercriminaliteit

Hoe zorgen cybercrime markten voor technologische innovatie op het gebied van cyberaanvallen? Welke factoren beïnvloeden de ondergrondse prijzen? En wat zegt een verhoogde marktactiviteit over daadwerkelijke cyberaanvallen? Kwantitatief onderzoek uitgevoerd aan de faculteit Wiskunde en Informatica van de TU/e heeft voor de allereerste keer academisch inzicht gegeven in de wereld van handel en exploitatie van kwetsbaarheden en geeft antwoord op deze vragen.

Voor zijn baanbrekend onderzoek naar de economische aspecten van een prominente cybercrime markt infiltreerde Universitair Docent Luca Allodi in één van de belangrijkste Russische cybercriminaliteitsmarkten uit de ondergrondse wereld. Zijn toegang tot de markt gaf hem de mogelijkheid tot het jarenlang analyseren van de economische en organisatorische principes die gelden voor de ondergrondse economie. Dit leidde tot een diepgaande analyse van ondergrondse handel, waarvoor Allodi meer dan zeven jaar gegevens verzamelde over de handel en exploitatie van kwetsbaarheden in computersystemen.

Ondergrondse economische wetten

Het onderzoek van Allodi gaf voor het eerst empirische inzicht in de werking van de economie van cybercriminaliteit. Zo ontdekte Allodi bijvoorbeeld dat de prijzen voor exploits – software die kwetsbaarheden in computersystemen misbruikt – op de cybercrime markt vergelijkbaar zijn met die van bovengrondse bug-bounty programma's. Dit kan als gevolg hebben dat de cybercrime markten programmeertalent wegtrekken van de legitieme markt.

Daarnaast vond Allodi dat de ondergrondse cybercrime markt eerlijke handel hoog in het vaandel heef staan. Er wordt gewerkt met officiële koopovereenkomsten tussen koper en verkoper, “oplichters” worden berecht via een openbare rechtszaak met rechters, getuigen en bewijsmateriaal. En kopers van exploits kunnen vaak gebruikmaken van proefversies van producten om ze te testen op functionaliteit. Allemaal kenmerken die een solide basis bieden voor handel en technologische innovatie.

Handel en cyberaanvallen vergelijken

De meest opvallende bevinding uit het onderzoek is het vinden van het eerste empirische bewijs van de directe correlatie tussen marktactiviteit op de cybercrime markt en het risico op daadwerkelijke cyberaanvallen. Hiervoor vergeleek Allodi de marktactiviteit rond bepaalde exploits met daadwerkelijke cyberaanvallen uitgevoerd met behulp van deze exploits. Dit toonde onder andere aan dat er een kwantitatieve relatie bestaat tussen de “populariteit” van een exploit op de cybercrime markt en het daadwerkelijke gebruik van de betreffende exploit.

Risico’s voorspellen

De inzichten uit het onderzoek van Allodi zijn van cruciaal belang voor het karakteriseren van de economie achter cybercrime markten, de productie van (verhandelde) exploits, en de effecten ervan op het algemene aanvalsscenario. De analyse heeft onderzoekers voor het eerst in staat gesteld het veranderende risico op cyberaanvallen te voorspellen, gebaseerd op waargenomen (of potentiële) marktactiviteit op een cybercrime markt. Dit kan softwareontwikkelaars, beleidsmakers en eindgebruikers helpen om efficiënter middelen toe te wijzen aan het beheer van 'cyberrisico', door bijvoorbeeld de relatie te kwantificeren tussen kwetsbaarheidskenmerken en de kans op cyberaanvallen.