Hij was ooit de beruchtste hacker ter wereld. Onder de naam MafiaBoy kreeg hij als snotneus de websites van Yahoo, CNN, Dell, Amazon en eBay op de knieën. Goed voor een verlies van meer dan anderhalf miljard dollar. Wat is er sindsdien veranderd? 'Veel hackers zijn ambtenaren geworden.'
Michael ‘MafiaBoy’ Calce kwam op uitnodiging van HP zijn levensverhaal vertellen. Computable sprak in de marge van zijn presentatie met de voormalige tienerhacker. De man is intussen toe aan een tweede leven, en begon er erg jong aan. ‘Op zes jaar kreeg ik mijn eerste pc omdat mijn ouders gescheiden waren en mijn vader in de transportsector werkte. Die dacht dat ik braaf bezig was met mijn computer.’
Hacker van negen
Het verhaal van MafiaBoy leest als een schelmenroman, die parallel loopt met de opmars van internet. In 1993 ging de negen jaar oude Michael voor het eerst op het wereldwijde web. Maar omdat internetprovider AOL slechts dertig dagen gratis internet aanbood, zocht hij uit hoe hij als administrator op het netwerk kon inloggen. ‘Zo kon ik andere internetgebruikers mailen en hun login en paswoord vragen. Zogezegd omdat ik als admin door een stroomstoring hun gegevens kwijt was. Heel wat mailden dat, waardoor ik op internet kon blijven.’
Vanaf 1995 bekwaamde de tiener zich in zijn programmeer- en hacking skills. Hij was vooral actief op het toen erg gangbare chatkanaal IRC (internet relay chat). ‘De hackinggemeenschap was gesloten en argwanend. Ik moest studeren om erbij te horen: van buffer overflow tot Linux’, vertelt hij. Met resultaat, want een paar jaar later werd hij aangeworven door TNT, de machtigste, Russische hackingclub ter wereld. ‘Ook toen al was Rusland actief op dit vlak. Bijna de helft van de exploits kwamen van hen.’
DDOS op aanvraag
Tegen de eeuwwisseling kwamen de zogenaamde DDOS-aanvallen opzetten. Een fenomeen dat opvallend genoeg vandaag nog altijd actueel is. ‘Ik ontwikkelde een systeem dat de computerkracht van andere pc’s bundelde. Het meest krachtige toen’, vertelt hij.
Eerst werd CNN aangevallen. ‘Nadien liep het een beetje uit de hand’, geeft hij toe. Zo gingen ook Dell, Amazon, eBay en Yahoo plat. Het werd de eerste, grootschalige DDOS-aanval op internet. Overigens vonden de aanvallen plaats toen de hacker zelf op school was. Hij had de betreffende commando’s op voorhand ingegeven op zijn pc. ‘Toen het nieuws overal opdook, herkende ik de sites die ik als target had ingevuld.’
1,7 miljard dollar schade, 250 dollar boete
De aanvallen gebeurden volop tijdens de e-commerce-boom. ‘Beleggers kregen schrik en verkochten hun aandelen. In totaal crashte de marktwaarde van de bedrijven met 1,7 miljard (Canadese) dollar. En dat allemaal door een vijftienjarige vanuit de kelder van papa. Het eindresultaat was desastreus.’ De gebeurtenissen gaan de geschiedenis in als het project Rivolta.
In 2000 kreeg Maffiaboy zijn – wat hij zelf omschrijft als – ‘oh crap’-moment. Op initiatief van de toenmalige Amerikaanse president Bill Clinton gingen zestien FBI-afdelingen achter hem aan. Na een maand of vier werd Calce gepakt, wat leidde tot een rechtszaak die anderhalf jaar duurde. ‘Maar de wetgeving was nogal duister, zeker voor een tiener’, weet hij. Uiteindelijk werd MafiaBoy veroordeeld tot het betalen van 250 dollar. ‘De maximale straf die je in deze context kon geven aan een tiener. En ook laag, dankzij het feit dat ik uit Canada kwam.’
Wat is er veranderd?
Vandaag de dag runt MafiaBoy een consultancyfirma in beveiliging. In functie hiervan werkt hij onder meer samen met HP voor het testen en verbeteren van de security in hun producten. De jeugdige stroper van weleer is tegenwoordig boswachter. Hij was een van de eerste echte hackers, en heeft internetsecurity langs diverse kanten kunnen ervaren. Wat is er sindsdien volgens hem veranderd?
- 1. The money
De eerste trend is wat MafiaBoy zou omschrijven als the industrialization of hacking. ‘Toen deden we het voor de kick en niet om geld te verdienen. Vandaag gaan de zero-day-exploits naar de hoogste bieder’, vertelt hij. ‘De Heartbleed-securitybug kende ik al drie jaar vooraleer het virus uitbrak en het in de kranten verscheen.’
- 2. De drempel (ligt lager)
Meer dan in de jaren negentig, toen MafiaBoy hard moest studeren om tot het Russische hackercollectief te behoren, kan iedereen vandaag hacker worden. ‘Ik kan iedereen in een halfuur opleiden tot hacker. Je hoeft er weinig voor te kunnen. Malafide toepassingen liggen voor het grijpen op internet en zijn vaak gratis.’ Hij verwijst naar een toepassing als Kali Linux. ‘Die zoekt kwetsbaarheden in een computersysteem, en is bovendien nog gratis ook.’
- 3. Meer kwetsbaarheden
Mogelijke kwetsbaarheden zijn geëxplodeerd. Alles wat vandaag aan een netwerk hangt, is een potentieel gevaar. Van printers, wearables tot andere IoT-apparaten. ‘Opkomende technologieën creëren gevaren.’
- 4. Een security-industrie
Toen eind vorige eeuw MafiaBoy een aantal vooraanstaande websites platlegde, stond de security-industrie in de kinderschoenen. ‘Vandaag zijn er meer mogelijkheden om het te bestrijden en gaan bedrijven er doordachter mee om. Honderd procent veiligheid bestaat niet, maar het doel moet zijn om dat percentage te benaderen.’
- 5. De overheden
Misschien wel de grootste verandering is dat het security-slagveld op internet is verplaatst van een hackerscollectief naar overheden, die als soort van sponsor fungeren. ‘Je kan vandaag als hacker perfect aan de slag voor de overheid. Je krijgt een beschermd statuut. Veel hackers zijn ambtenaren geworden.’
Wat is er niet veranderd?
- 1. De menselijke factor
De gebruiker blijft de zwakke schakel. ‘Het is verrassend hoe makkelijk je iemand in de luren kan leggen. Nog altijd’, stelt MafiaBoy. Hij haalt het voorbeeld van een treinreiziger die denkt op een hotspot binnen te komen, maar eigenlijk inlogt op een malafide toegangspunt die zijn pc van malware als backdoors-virussen voorziet. ‘Als zo iemand op kantoor komt, is de kans groot dat jij daar toegang hebt tot alles.’
- 2. De zwakke schakel
Ook dat blijft een contante. Hackers gaan opzoek naar de laaghangende vruchten. ‘Hackers zijn als bankrovers. Ze kiezen de zwakste schakel. Ze kraken niet zozeer de deur van de kluis, maar gaan door de vloer.’ Maar bedrijven vergeten soms om die spreekwoordelijke vloer te beveiligen. ‘Vandaag zijn er bijvoorbeeld honderden miljoenen businessprinters ter wereld. Maar slechts twee procent daarvan is beveiligd.’
- 3. De Russen
TNT, het hackerscollectief dat MafiaBoy indertijd binnenhaalde, bestond voornamelijk uit Russen. Ook vandaag genieten Russen inzake cybercriminaliteit een dubieuze reputatie. Ook MafiaBoy noemt het beestje bij de naam als hij verwijst naar de recente Amerikaanse verkiezingen die zijn beïnvloed door criminelen. Natuurlijk zijn er meer landen die niet onvermeld blijven, van Chinezen tot Brazilianen. ‘Al is natuurlijk één persoon voldoende om schade aan te richten, onafhankelijk van diens nationaliteit. Eén iemand is voldoende.’