Data mining e machine learning usati per analizzare i forum del deep web da cui partono le offerte di vendita di exploits e malware, ecco il segreto.
Un team di dieci ricercatori dell’Università statale dell’Arizona ha appena pubblicato un paper dove spiegano una efficiente metodica per individuare la vendita di exploits nel dark web. La ricerca, pubblicata col nome di “Darknet and Deepnet Mining for Proactive Cybersecurity Threat Intelligence”, illustra l’uso tecniche di data mining e di machine learning per analizzare i forum del deep web da cui partono le offerte di vendita di exploits e malware.
Come funziona
Il sistema descritto dai ricercatori analizza linguisticamente le interazioni nei social network e dentro i forum di discussione del deep web per individuare le keyword che potenzialmente possono condurre alle offerte di vendita vere e proprie di armi, droga e bitcoin, eccetera. Come dimostrazione i ricercatori portano l’esempio dell’individuazione del Trojan Dyre che attaccava una vulnerabilità del software Microsoft nell’aprile 2015.
Essendo basato sul riconoscimento linguistico il software dei ricercatori incontra diverse difficoltà a filtrare gli errori ortografrici o tipografici e deve confrontarsi col dialetto hacker per cui la parola Sale può essere battuta come “Salle” oppure “S4L3″.
E nonostante queste difficoltà il loro crawler individua sedici zero-days a settimana, secondo Rick Gamache, l’esperto di cybersecurity che ha riportato la notizia sul sito di securityaffairs.
Soluzioni operative che necessitano di fondi
Attualmente i ricercatori stanno monitorando ventisette black market e ventuno forum per la vendita illegale ma intanto con questo metodo hanno individuato 305 cyberminacce (cyberthreats) ogni settimana. Adesso stanno perfezionando il sistema che impara attraverso l’iterazione dei suoi stessi comportamenti, e potrebbe arrivare a individuare delle soluzioni operative di fronte a pericoli anche maggiori per proteggere anche carte di credito e cartelle cliniche in vendita nei meandri della rete.
Ma hanno bisogno di finanziamenti per continuare la loro ricerca. Sono già diverse le società che si sono fatte avanti.