Bolzoni: “Mijn opdracht was een ‘slechte’ hacker te zijn: banken, verzekeraars en andere grote bedrijven kwamen naar ons toe met de vraag of we in hun systemen konden inbreken. Ik slaagde daar meestal in. In die tijd ging ik veel lezen over hoe je intrusion detection systems nog beter zou kunnen maken. Ik besloot dat ik liever mijn kennis als hacker voor de ‘goede’ kant wilde gebruiken. Good guy te zijn is namelijk veel moeilijker en interessanter: als ‘slechte’ hacker heb je maar één ingang ergens nodig, en je bent binnen. Maar als ‘goede’ hacker moet je duizenden mogelijkheden bedenken, die aanvallers kunnen inzetten. Je moet daarvoor afdoende alarmeringssystemen en nieuw beschermingstechnieken bedenken.”
Bolzoni besloot om opnieuw het wetenschappelijk onderzoek in te gaan, en vond in 2005 een promotieplaats in Enschede, bij de onderzoeksgroep Distributed and Embedded Systems. Samen met een collega ging hij daar werken aan software die beter alarm kan slaan bij een inbraakpoging.
Twee werelden combineren
Het belangrijkste idee van de twee was, om kennis uit twee onderzoeksgebieden te combineren, die normaal gesproken maar weinig met elkaar van doen hebben: kunstmatige intelligentie en statistische analyse. Bolzoni: “Het zijn twee gescheiden onderzoeksscholen: in de eerste werk je met neurale netwerken, en in de tweede gaat het om wiskunde en statistische methodes. Die scholen praten traditioneel maar weinig met elkaar, terwijl wij het beste uit beide werelden met elkaar wilden combineren.”
Bij neurale netwerken gaat het om het analyseren van data, en het zelfstandig clusteren van al die informatie in samenhangende groepen. Bolzoni: “Dat betekent dat je als programmeur niet zoveel invloed kunt hebben op, wat inhoudelijk met elkaar gegroepeerd wordt. En dat is een probleem in ons vak, omdat je juist ook de uitzonderingen zo moet zien op te vangen, dat je geen overbodig alarm slaat, maar ook dat je geen enkele echte inbraak mist.”
Bolzoni schakelde achter de neurale netwerken nog statistische programma’s en koppelde zo beide methoden logisch aan elkaar. “We laten het neurale netwerk de data in clusters indelen, en dan passen we statistiek toe om te kunnen zeggen, welk cluster in orde is, en in welk cluster er mogelijk inbraken zijn.”
In het eerste jaar ging het vooral om het schrijven van de fundamentele software voor een nieuw systeem. Er werd een programma gerealiseerd dat alle datapakketjes uit een stroom internetgegevens analyseert. Bolzoni: “Dit systeem heeft drie eigenschappen, die je in andere systemen niet vindt: de gebruiker kan zien hoe het systeem intern de datapakketjes in groepen indeelt, hij kan in het clusteren handmatig veranderingen aanbrengen, en kan heel precies correcties en uitzonderingen aangeven.”
Daarna ontwikkelden ze een expertsysteem, dat iets kan zeggen over de betekenis van de clusters. Daar is kennis van de onderliggende netwerktechnologie voor nodig, en inzicht in de psychologie van een hacker. Bolzoni: “Het systeem moet weten wat voor soort datapakketjes achter elkaar mogen verschijnen, en welke niet. Ook kwam mijn lange ervaring als hacker goed van pas. Ik wéét hoe hackers proberen ergens in te breken. In feite hebben we dus een algoritme geschreven voor een virtuele hacker – hoe hij of zij denkt, wat voor soort aannames hij maakt, et cetera. Ons systeem kan niet alleen zeggen dat er iets niet in orde is (dat kunnen andere systemen ook), maar het kan ook aangeven, waar het probleem ligt.”
Verfijnde technieken
In 2008 begon Bolzoni samen met zijn compagnon na te denken over het oprichten van een eigen bedrijf. De naam was al snel bedacht: Security matters. In november 2008 schreef Bolzoni nog aan het laatste artikel voor zijn proefschrift. Het artikel werd gepubliceerd op de beste conferentie voor intrusion detection ter wereld – Bolzoni is daar nu nog trots op.
Inmiddels werkt hij drie dagen aan de universiteit, en twee dagen in zijn eigen bedrijf. Daar wordt meer dan 40 uur per week geprogrammeerd. Bolzoni: “Ik moet alles naast mijn werk aan de universiteit doen, in de avonduren en weekeinden. Sinds september vorig jaar hebben we ook een programmeur in dienst. Ons systeem bestaat nu uit 50.000 regels code.”
Als klant heeft Bolzoni de echt grote bedrijven op het oog: “De bestaande technologie om digitale inbrekers te vangen, heeft zijn grenzen bereikt. Onze software is voor banken en verzekeringsmaatschappijen eigenlijk de enige mogelijkheid om de steeds verfijndere technieken van hackers het hoofd te kunnen bieden.”
Het promotieonderzoek van Damiano Bolzoni is gefinancierd binnen het Open Technologieprogramma van de Technologiestichting STW.
Lees de andere artikelen gepubliceerd in de STW brochure Technologisch Toptalent 2010 :
- dr.ir. Martijn Cox – Intervaltraining voor hartkleppen (winnaar)
- dr.ir. Esther Leung – Een video van het hart in 3D dankzij ultrasoon geluid (finalist)
- dr. Robert Rissmann – De lange weg naar de ultieme huidcrème (finalist)
- dr.ir. Christian Günther – Op zoek naar het perfecte protocol
- dr. Usama Kadri – Hoe voorkom je lange vloeistof slugs
- dr. Richard van Leeuwen – Het mysterie van de schimmeldoder ontraadseld
- dr. Hristo Nikolov – Iedere processor zijn eigen geheugen
- dr.ir. Lars Perk – Biochemisch puzzelen met antilichamen
- dr. Sandeep Unnikrishnan – Het juiste recept voor de microfabricage van elektrode