[autoheaders]Vijf dollar voor de controle over 1000 gekraakte email-accounts. Acht dollar voor een DDoS aanval waarmee je een website een uur uit de lucht haalt. En voor een enkele dollar omzeil je 1000 captchas.

Dat zijn de huidige prijzen voor cybercriminaliteit: de bedragen die criminelen aan andere criminelen betalen voor de technische diensten die nodig zijn om een aanval op te zetten. Het is een soort IT outsourcing waar geen fatsoenlijk bedrijf zich aan zou wagen - maar als je er goed in bent, kun je er uitstekend mee verdienen.

Deze criminele subcultuur werd eerder dit jaar zeer smakelijk uiteen gezet door Stefan Savage op de jaarlijkse Usenix tech-conferentie in Portland (VS). Er kwamen ongelofelijke voorbeelden voorbij van outsourcing in het cybercriminele circuit, die door het publiek vrolijk werden ontvangen, maar Savage schetste ook een empirische benadering van onderzoek naar computercriminaliteit en het bedenken van effectieve (dat wil zeggen: financieel gunstige) manieren om het tegen te gaan.

Vanuit economisch standpunt...

Savage is professor aan de Universiteit van San Diego (Californië) en director van het 'Collaborative Center for Internet Epidemiology and Defenses'. Het CCIED is opgericht om de technische componenten van cybercrime te onderzoeken. Sinds 2004 wordt het centrum gefinancieerd door de Amerikaanse overheid, en als gevolg daarvan moet het sindsdien economische modellen loslaten op hun onderzoek, om de Amerikaanse regering tevreden te houden.

Savage geeft toe dat hij die economische invalshoek aanvankelijk totaal niet serieus nam, maar na verloop van tijd realiseerden hij en zijn team zich dat de financiële basis voor criminele hacks best eens de sleutel tot het hele probleem zou kunnen zijn. Dus besloten ze het geld nader te bestuderen, en zelfs op slinkse wijze met criminele organisaties samen te werken, door bijvoorbeeld hun eigen code toe te voegen aan hackercode om ze zo in de gaten te kunnen houden, en door bakken vol orders te plaatsen via phishing sites om zo de route van het geld te kunnen volgen.

"Een belangrijke fout was dat we dit puur als een technisch probleem benaderden," zegt Savage. "We kunnen sommige aanvallen afwenden door voor iedere nieuwe dreiging een technische oplossing te verzinnen, en antivirussoftware te installeren op miljarden pc's over de hele wereld tegen een forse stuksprijs, maar dat model is niet vol te houden."

"Als verdediger is het je taak om bij een nieuwe aanval met een nieuwe verdediging te komen," zegt hij. "Aanvallers daarentegen kunnen proactief aanvallen wanneer ze daar zin in hebben."

Het is bijna onmogelijk de effectiviteit van de verdediging meetbaar te maken, en het is duur om een nieuwe verdediging op te stellen, terwijl het heel goedkoop is om cybercriminaliteit te plegen omdat er een enorme zwarte markt achter hangt.

De zwarte markt

Als je niet over de expertise beschikt om email- of creditcardgegevens te stelen, dan koop je gewoon een gekraakt account van een website - in de gebruikelijke aantallen van 1000 stuks waar cybercriminelen gewoonlijk in handelen. "Ze kopen en verkopen gehackte hosts per 1000 stuks, en de prijzen hangen af van vraag en aanbod," zegt hij.

Door simpelweg de websites in de gaten te houden van de bedrijven die toegang tot gekraakte computers verkopen, krijg je al aardig inzicht in hun omzetten. Een van de Russische sites die Savage liet zien, toont bijvoorbeeld een keurige prijslijst voor het installeren van kwaadaardige software op computers.

"Je computer is tien cent waard, en als je in China woont is dat één cent," vertelt hij.

Je hoeft niet eens over al te veel technische kennis te beschikken om van cybercriminaliteit te profiteren. Om een voorbeeld te geven: er is een bedrijfje dat mensen betaalt om hun toegangsrechten te misbruiken. Dan krijg je bijvoorbeeld een stukje HTML-code toegestuurd dat je verondersteld wordt ergens in de bedrijfswebsite te verwerken - en je wordt betaalt op commissiebasis, voor iedere persoon die via die site wordt besmet. Het gaat daarbij niet om je expertise - het gaat ze louter om het wachtwoord voor de webserver. "Je hoeft er helemaal niets voor te weten," zegt Savage. "Dit is gewoon outsourcing dat op een logische manier wordt doorgevoerd."

Savage schetste een aantal projecten waarin zijn team iets dichter bij de cyberondergrondse betrokken raakte. CCIED infiltreerde bijvoorbeeld in het Storm botnet, dat in 2007 snel om zich heen greep, met behulp van 'honingpotten' die ze gebruikten om hun code achter laten in pakweg 1% van de URLs die binnen het botnet werden gebruikt.

"Daardoor konden we in principe nagaan wat er allemaal gebeurde en zelfs enige invloed uitoefenen," vertelt Savage. "We konden bijvoorbeeld de levering meten, de doorklikratio en de conversie."

Op die manier ontdekten ze dat bij de (illegale) handel in farmaceutische artikelen 12 miljoen emails nodig zijn om slechts één koper binnen te halen - en toch zijn dat soort opzetjes goed voor een omzet van miljoenen dollars per jaar.

Bestrijding

De vraag blijft natuurlijk hoe je hier een eind aan maakt. Er is een voorbeeld dat te maken heeft met captcha's (die irritante invoervelden waarin je willekeurige tekens moet overtikken om aan te tonen dat je geen computer bent) waaruit duidelijk wordt hoe economisch inzicht de veiligheid op het web kan verbeteren.

Het blijkt namelijk dat het economisch veel minder aantrekkelijk is om gebruik te maken van softwareprogramma's die captcha-karakters kunnen herkennen, dan dat je simpelweg mensen inhuurt om die tekens in te tikken, omdat de hosts van de betreffende websites regelmatig hun captcha-software veranderen zodat de software niet langer werkt. Mensen daarentegen hoeven niet eens een bepaalde taal te kennen om captcha's te kunnen gebruiken - zolang ze maar in staat zijn de karakters te herkennen.

Je kunt betalen voor het omzeilen van captcha's, op dezelfde manier als je creditcard- en emailgegevens kunt kopen. Maar je betaalt dan in feite voor iemand die niet meer dan een dollar of zelfs nog minder krijgt om acht uur of meer onafgebroken 1000 captcha's achter elkaar in te tikken.

Het team van Savage heeft een heleboel captcha-diensten ingekocht om te zien hoe groot de beschikbare capaciteit eigenlijk is. Eén provider had continu 400 tot 500 mensen beschikbaar - de hele industrie blijkt in staat dagelijks miljoenen captcha's te omzeilen met behulp van goedkope arbeidskrachten.

Zo bekeken lijkt het alsof het gebruik van captcha-technologie op websites een zinloze onderneming is, maar het tegenovergestelde blijkt het geval. Door criminele ondernemingen op deze manier op kosten te jagen duw je ze vanzelf in een richting waarin hun onderneming uiteindelijk economisch gezien niet rendabel meer is.

"Als je geen captcha gebruikt kunnen mensen met boze plannen het zich veroorloven je resources te misbruiken," zegt Savage. "Met captcha's beperk je het tot de kleine groep die een solide businessmodel heeft en zich de kosten kan veroorloven."

Door de groep potentiële criminelen te verkleinen kan de computerbeveiligingsindustrie meer middelen vrijmaken voor de aanpak van minder aanvallen.

Maar perfect is het niet, zoals iedereen weet die wel eens een virus heeft gehad.

Een kwestie van vertrouwen

Spammen en phishing is simpel dankzij het bestaan van grote botnets die zijn opgebouwd uit vele geïnfecteerde computers. Daardoor ontstaat in feite een platform-economie, waarin de botnets het platform zijn, zegt Savage. Hij heeft de vergelijking niet gemaakt, maar dat lijkt sterk op hoe populaire besturingssystemen, browsers en apparaten samen de platformen vormen voor grootschalige software-ontwikkeling. Alleen zijn de doelstellingen nogal anders.

De criminelen zijn op een bepaald punt wel in het nadeel: ze kunnen elkaar niet vertrouwen. Hackers die software verkopen waarmee pc's worden besmet, zijn net als gewone bedrijven niet zo blij als anderen met hun software aan de haal gaan, zegt Savage. "Dat is een probleem voor ze, omdat hun klanten nu eenmaal criminelen zijn."

Een van dit soort softwareschrijvers gaat zo ver om versies van zijn software te verspreiden waarin malware is opgenomen, zodat mensen die 'illegale' versies van de illegale software gebruiken direct zelf worden geïnfecteerd.

"Dat blijkt heel goed te werken en zorgt ervoor dat hij zijn prijzen hoog kan houden," vertelt Savage. "Hij vraagt er 500 dollar voor."

Mocht je je afvragen wat er zou gebeuren als je zou reageren op een van die Viagra-advertenties, dan blijkt dat je je pillen vrijwel altijd geleverd krijgt (al is de werkzaamheid onzeker) zolang je maar betaalt via creditcard, en zolang het bedrijf maar een manier weet te vinden om met hun waren de douane te omzeilen. Het blijkt over het algemeen zelfs tamelijk eenvoudig je geld terug te krijgen als je niet tevreden bent met het product. Dit soort bedrijven blijft het liefst uit de publiciteit en doet erg zijn best om de aandacht van de creditcardmaatschappijen te vermijden.

"Over het algemeen hebben ze een stuk betere klantenservice dan alle andere bedrijven waar je ooit zaken mee hebt gedaan," zegt Savage.[/autoheaders]