Advanced Cyber Defense Center (ACDC)

Europa bindt de strijd aan tegen botnets

Botnets vormen een ernstige bedreiging van de internetveiligheid. Alleen al in Europa zijn er tientallen miljoenen besmette computers per jaar. In de strijd tegen de botnetproblematiek opent het Europese project Advanced Cyber Defense Center (ACDC) de aanval. De TU Delft strijdt mee door met reputation metrics het prestatiepeil van providers zichtbaar te maken. 

Botnets zijn netwerken van gehackte computers die door cybercriminelen worden gebruikt voor internetfraude. In verschillende landen, Nederland voorop, worden toegangsaanbieders zoals internet providers beschouwd als de aangewezen partijen om in te grijpen tegen botnets. Zij kunnen immers van elke pc zien wie de eigenaar is en zitten daarmee op een control point. Dit illustreert overigens goed de nieuwe visie op internetveiligheid: de problematiek is niet een puur technisch probleem, maar eerder een vraagstuk van economische prikkels. 

In 2011 heeft de TU Delft voor het ministerie van Economische Zaken, Landbouw & Innovatie al het onderzoek Internet service providers and botnet mitigation uitgevoerd. “We hebben toen de omvang van botnets in Nederland in kaart gebracht”, vertelt Michel van Eeten, hoogleraar Bestuurskunde
bij de TU Delft. “En wat bleek? Wij traceerden aanzienlijk meer besmette computers dan dat er werden opgeschoond. Zeven Nederlandse providers zijn daarom begin 2013 van start gegaan met Abuse Information Exchange. Hier wordt informatie over botnetbesmettingen centraal verzameld en verwerkt, zodat botnets effectiever worden betreden en de internetveiligheid wordt verhoogd.”

Strijdplan

Het ACDC beoogt geïnfecteerde websites op te sporen, aanvallen te voorkomen en malware te verwijderen. Het strijdplan is als volgt: uit allerlei bronnen wordt informatie verzameld over besmette machines. Deze data worden geordend en samengevoegd, waarna gestandaardiseerde datafeeds worden uitgestuurd naar hosting bedrijven en internet providers, die ermee aan de slag moeten. Ook komen er nationale support centers voor consumenten in verschillende landen. Van Eeten: “De EU wil echter graag zeker weten of deze gecentraliseerde informatieverspreiding en de support centers inderdaad leiden tot een verlaging van de besmettingsgraad. Om deze vraag wetenschappelijk te beantwoorden, is de TU Delft ingeschakeld.”
Het werkpakket van de TU Delft gaat om het kwantitatief evalueren van de impact van de ACDC-oplossing. Anders gezegd: is te zien dat de ACDC-aanpak Europees gezien effect heeft? Hebben toegangsaanbieders die meedoen sneller schonere netwerken dan zij die dat niet doen? En hoe telt dit op voor Europa als geheel? “De tweede vraag is of wij de verschillen tussen die providers zichtbaar kunnen maken”, aldus Van Eeten. “Zodat de service providers die goed scoren qua veiligheid beloond worden, en de slecht presterende bedrijven prikkels krijgen om zich te verbeteren.”

Vertaalstraat

De onderzoeksvragen van het ACDC zijn de TU Delft op het lijf geschreven. “Het is precies wat wij in eerder onderzoek geïnnoveerd hebben. Wat wij doen bevindt zich tussen wal en schip. Techneuten kijken puur naar technische gebeurtenissen en komen dan met cijfers, bijvoorbeeld het aantal IP-adressen met verdacht gedrag in een bepaald netwerk. Maar dat zijn alleen cijfers. Beleidsmakers kijken niet naar de techniek, maar naar de markten: welke bedrijven zijn dit, wat voor klanten hebben ze, onder welke wetgeving staan ze? Wij hebben nu de verbinding gebouwd tussen het technische en economisch/juridische domein, een soort vertaalstraat. Je stopt daar ruwe meetdata in, die worden verwerkt, en er komen bijvoorbeeld scores per provider per land uit. De resultaten die dit oplevert, zijn soms echte eye-openers.” 


Reputation metrics

De sectie OG van de TU Delft is specialist in reputation metrics: het meten van hoe betrouwbaar bepaalde marktpartijen zijn ten opzichte van elkaar en anderen in hun keten. Doordat zichtbaar wordt wat iedereen doet, krijgen partijen prikkels om zich te verbeteren. De reputation metrics zijn al ingezet voor toegangsleveranciers (KPN en ZIGGO) en staan op de rol voor hosting bedrijven (vb. Leaseweb), registrars (vb. GoDaddy), certification authorities (vb. VeriSign) en diverse banken.