Costantes missie: zoveel mogelijk mensen en organisaties bewust maken van de risico’s die ze lopen op internet. “Ik wil mensen niet bang maken, maar de toenemende digitalisering brengt nu eenmaal risico’s met zich mee. Je kunt het zo gek niet bedenken of er zit een geautomatiseerd systeem achter: banken, treinen, verkeerslichten, waterwerken. Je wil er niet aan denken wat er kan gebeuren als iemand kwaad in de zin heeft.”
En het kan goed misgaan. Als voorbeeld geeft Costante het schadelijke computerprogramma STUXNET dat in 2010 ontwikkeld werd door cybercriminelen om het Iraanse nucleaire programma te saboteren. Of meer recent de malware Carbanak waardoor dieven honderden miljoenen dollars bij banken konden ontvreemden.
Internetveiligheid
Al tijdens haar masterstudie Software Engineering was Costante bezig met internetveiligheid. Ze onderzocht de betrouwbaarheid van webservices. Een webservice is een applicatie die zonder menselijke tussenkomst toegang heeft tot verschillende databases.
Met haar promotieonderzoek aan de TU Eindhoven ging ze hierop verder. Ze bracht in kaart wat er online gebeurt met je persoonlijke data, waar het allemaal terecht komt en waar het allemaal mis kan gaan. “Het mooie van mijn promotieonderzoek is dat ik privacy binnen een volledige datacyclus heb onderzocht: gebruikers, websites, webservices en data repositories: een soort archief waar gebruikte data wordt opgeslagen. Op elk van deze plekken kan het misgaan en ik zocht voor elk van deze partijen een manier om fraude tegen te gaan.”
Geanimeerde (engelstalige) uitleg over STUXNET. Regie & animatie: Patrick Clair, script: Scott Mitchell.
Veiligheidslabel
Costante ontwikkelde een soort veiligheidslabel voor websites. Het label brengt bijvoorbeeld in kaart hoeveel data de site van je bewaart en deelt met andere partijen. Als gebruiker heb je vaak niet door dat wanneer je een site gebruikt, je gegevens automatisch ook terecht komen op andere sites. Costantes tool scant automatisch de terms and conditions en privacy policies van websites en vertaalt en vat deze samen in een overzichtelijk label voor de site. Daarmee heb je in een oogopslag, zonder je door alle gebruikersvoorwaarden te worstelen, door hoe de site omgaat met je persoonlijke gegevens.
“Ik heb het systeem gebouwd en daarmee aangetoond dat het mogelijk is geautomatiseerd alle gebruiksvoorwaardes van de site en onderliggende sites in kaart te brengen. Maar voor nu is het bij een prototype gebleven. Ik had geen tijd om er ook een downloadbare app van te bouwen. Er is interesse van een Belgisch instituut voor databeveiliging en het onderzoek is openbaar, dus mogelijk komt het label er nog wel.”
Datalek
Een ander deel van het onderzoek ging over het monitoren van data repositories. Als er heel veel partijen zijn die gebruik maken van de data, hoe ontdek je dan dat iemand ze uit een database haalt voor oneigenlijk gebruik? “Ik ontwikkelde een tool om zo’n datalek snel op te sporen. Mijn tool brengt eerst in kaart wat normaal gedrag is, om vervolgens abnormaal gedrag direct te herkennen (anomaly detection) en onmiddellijk alarm te slaan. Dergelijke tools bestaan al, maar zijn veelal gebaseerd op regels. Maar het is moeilijk om van te voren alle regels op te stellen, want je weet niet wat er mis kan gaan – er zijn geen regels voor de echte wereld. Bovendien is mijn systeem sneller, en beter omdat het niet alleen maar zegt: er is iets aan de hand vanaf dit IP adres maar direct aangeeft wat er aan de hand is.”
Dagelijkse realiteit
Al tijdens de laatste fase van haar promotieonderzoek ging Costante aan de slag bij het bedrijf SecurityMatters, spin-off van de TU Eindhoven en winnaar van de Nationale ICT Award (2012). Hoewel ze daar nog steeds in het onderzoek zit, ziet ze wel verschillen tussen werken voor een bedrijf en werken voor een universiteit. “Bij de universiteit sta je toch net iets verder af van de dagelijkse realiteit. Het kan voorkomen dat je zo in je onderzoek verdiept dat je de praktijk een beetje uit het oog verliest: zit de maatschappij wel te wachten op dit onderzoek? Dat zit bij het bedrijf waar ik nu werk wel goed.”
Haar werk gaat verder waar haar PhD ophield. Op het moment werkt ze aan vitale infrastructuursystemen als elektriciteitsnetwerken, banksystemen en waterwerken. “Een van de vragen die ik had was: je observeert wat normaal gedrag is, maar wat als dat normale gedrag verandert? Hoe pas je dan je systeem aan en voorkom je dat je een vals alarm afgeeft? Hier ben ik nu een grote stap in aan het maken bij SecurityMatters. Wat het precies is, mag ik helaas niet zeggen. Maar als het werkt, kan het al over ongeveer een jaar toegepast worden.”
Costante heeft nog veel werk te verzetten. Voorzichtig lachend geeft ze toe dat zelfs bij haar thuis alles nog niet optimaal beveiligd is. “Zelf let ik er goed op, maar mijn vriend niet! Hij laat bijvoorbeeld zijn emailadres op allerlei sites achter.” Heeft ze nog tips? “Kies een veilig wachtwoord, gebruik niet overal hetzelfde. En gebruik geen gratis Wi-Fi! Dat is vaak slecht beveiligd.”
Terug in de trein van Eindhoven popt er op het telefoonscherm automatisch een bericht op: ‘op zoek naar draadloos netwerk’. Wat nu?
Commit
Elisa Costante (1984) behaalde haar master in Software Engineering aan de Universiteit van Sannio in Benevento (Italië) in maart 2010. Vervolgens deed ze een promotieonderzoek aan de technische universiteit Eindhoven dat ze afrondde in maart 2015.
Haar onderzoek werd deels gefinancierd door Commitproject THeCS. Inmiddels werkt ze als cybersecurity en privacy specialist bij het bedrijf SecurityMatters.