Cybercrime bestrijden? Volg het geld!
Gepubliceerd: Zaterdag 8 oktober 2011
Auteur: Jon Brodkin
Het blijkt veel interessanter het businessmodel van de cybercrimineel te bestuderen dan de strijd aan te gaan op technisch vlak, waar je altijd een stap achter loopt.
[autoheaders]Vijf dollar voor de controle over 1000 gekraakte email-accounts. Acht dollar voor een DDoS aanval waarmee je een website een uur uit de lucht haalt. En voor een enkele dollar omzeil je 1000 captchas.
Dat zijn de huidige prijzen voor cybercriminaliteit: de bedragen die criminelen aan andere criminelen betalen voor de technische diensten die nodig zijn om een aanval op te zetten. Het is een soort IT outsourcing waar geen fatsoenlijk bedrijf zich aan zou wagen - maar als je er goed in bent, kun je er uitstekend mee verdienen.
Deze criminele subcultuur werd eerder dit jaar zeer smakelijk uiteen gezet door Stefan Savage op de jaarlijkse Usenix tech-conferentie in Portland (VS). Er kwamen ongelofelijke voorbeelden voorbij van outsourcing in het cybercriminele circuit, die door het publiek vrolijk werden ontvangen, maar Savage schetste ook een empirische benadering van onderzoek naar computercriminaliteit en het bedenken van effectieve (dat wil zeggen: financieel gunstige) manieren om het tegen te gaan.
Vanuit economisch standpunt...
Savage is professor aan de Universiteit van San Diego (Californië) en director van het 'Collaborative Center for Internet Epidemiology and Defenses'. Het CCIED is opgericht om de technische componenten van cybercrime te onderzoeken. Sinds 2004 wordt het centrum gefinancieerd door de Amerikaanse overheid, en als gevolg daarvan moet het sindsdien economische modellen loslaten op hun onderzoek, om de Amerikaanse regering tevreden te houden.
Savage geeft toe dat hij die economische invalshoek aanvankelijk totaal niet serieus nam, maar na verloop van tijd realiseerden hij en zijn team zich dat de financiële basis voor criminele hacks best eens de sleutel tot het hele probleem zou kunnen zijn. Dus besloten ze het geld nader te bestuderen, en zelfs op slinkse wijze met criminele organisaties samen te werken, door bijvoorbeeld hun eigen code toe te voegen aan hackercode om ze zo in de gaten te kunnen houden, en door bakken vol orders te plaatsen via phishing sites om zo de route van het geld te kunnen volgen.
"Een belangrijke fout was dat we dit puur als een technisch probleem benaderden," zegt Savage. "We kunnen sommige aanvallen afwenden door voor iedere nieuwe dreiging een technische oplossing te verzinnen, en antivirussoftware te installeren op miljarden pc's over de hele wereld tegen een forse stuksprijs, maar dat model is niet vol te houden."
"Als verdediger is het je taak om bij een nieuwe aanval met een nieuwe verdediging te komen," zegt hij. "Aanvallers daarentegen kunnen proactief aanvallen wanneer ze daar zin in hebben."
Het is bijna onmogelijk de effectiviteit van de verdediging meetbaar te maken, en het is duur om een nieuwe verdediging op te stellen, terwijl het heel goedkoop is om cybercriminaliteit te plegen omdat er een enorme zwarte markt achter hangt.
De zwarte markt
Als je niet over de expertise beschikt om email- of creditcardgegevens te stelen, dan koop je gewoon een gekraakt account van een website - in de gebruikelijke aantallen van 1000 stuks waar cybercriminelen gewoonlijk in handelen. "Ze kopen en verkopen gehackte hosts per 1000 stuks, en de prijzen hangen af van vraag en aanbod," zegt hij.
Door simpelweg de websites in de gaten te houden van de bedrijven die toegang tot gekraakte computers verkopen, krijg je al aardig inzicht in hun omzetten. Een van de Russische sites die Savage liet zien, toont bijvoorbeeld een keurige prijslijst voor het installeren van kwaadaardige software op computers.
"Je computer is tien cent waard, en als je in China woont is dat één cent," vertelt hij.
Je hoeft niet eens over al te veel technische kennis te beschikken om van cybercriminaliteit te profiteren. Om een voorbeeld te geven: er is een bedrijfje dat mensen betaalt om hun toegangsrechten te misbruiken. Dan krijg je bijvoorbeeld een stukje HTML-code toegestuurd dat je verondersteld wordt ergens in de bedrijfswebsite te verwerken - en je wordt betaalt op commissiebasis, voor iedere persoon die via die site wordt besmet. Het gaat daarbij niet om je expertise - het gaat ze louter om het wachtwoord voor de webserver. "Je hoeft er helemaal niets voor te weten," zegt Savage. "Dit is gewoon outsourcing dat op een logische manier wordt doorgevoerd."
