Michael Calce zat niet achter zijn computer op 9 februari 2000. Hij zat als vijftienjarige jongen net als zijn leeftijdgenootjes in de klas. Een normale situatie. Maar terwijl zijn klasgenoten in de boeken zaten, stelde Michael een timer in werking en legde hij vanuit het klaslokaal Yahoo, CNN, Dell, Amazon en eBay plat. Wat volgde, was grote paniek. Niet direct bij Michael, maar wel bij grote corporaties. De aanval draaide uit op een economisch verlies van 1,5 miljard euro en betekende het keerpunt voor de digitale wereld.
Als zoon van gescheiden ouders woonde Michael afwisselend bij zijn moeder en vader in het Canadese Quebec. Als zesjarige was hij gek op puzzelen en lego. Al maakte hij niet wat er op de doos stond, maar gebruikte liever zijn eigen fantasie voor zijn bouwwerken. Omdat hij zich geïsoleerd voelde en zijn vrienden miste wanneer hij de weekenden niet thuis bij zijn moeder doorbracht, kreeg hij een computer van zijn vader. Iets wat Michael direct fascineerde en wat bepalend zou worden voor zijn leven.
Vanaf de eerst keer dat zijn computer contact maakte met internet werd hij overgenomen door de kracht van de online-wereld. Elke keer als de AOL-probeerperiode stopte, verzon Michael iets nieuws om weer op het world wide web te komen. Uiteindelijk ging hij accounts stelen om zijn trials te verlengen. Toen hij werd afgesloten door een van de AOL-administrators was hij geïntrigeerd. ‘Hoe kan het dat ik door iemand die zich in een ander deel van wereld bevindt, word afgesloten?’ Hij moest iets nieuws bedenken om online te blijven. Uiteindelijk vond hij het programma AOHELL waardoor hij zichzelf AOL-administrator maakte en ongelimiteerd op het web kon. Hij was negen jaar oud.
Nog voor zijn tiende verjaardag solliciteerde Michael bij een hackersgroep. Hij was gek op videogames en probeerde deze online te krijgen. Via een website kwam hij terecht bij een hackersgroep en zag dat zij nog op zoek waren naar nieuwe hackers. Hij meldde zich aan maar werd te jong bevonden. Toch lukte het hem om binnen te komen en kreeg hij de kans andere sites en netwerken te hacken via de hackbot Qbs. Als 13-jarige werd hij gerekruteerd bij een prominente hackersgroep. Hij sliep de eerste twee lesuren van zijn schooldag uit om tot ’s avonds laat door te kunnen hacken. Op zijn highschool zat Michael bij een programmeergroepje. Al snel programmeerde Michael in opdracht voor de docent. Niet in Pascal, de simpele codeertaal waarin hij en zijn studiegenoten les kregen, maar – tot verbazing van zijn lerares – met regels in C. Als de les voorbij was, hackte hij schoolprogramma’s.
Mafiaboy
De broer van Michael gebruikte regelmatig zijn netwerk. Op een dag vergat Michael te wisselen van gebruiker en zag dat hij ingelogd was als MafiaBoy. Een naam waarmee hij zich direct verbonden voelde. Het was intimiderend en agressief. Twee dingen die hij als hacker wilde zijn.
Op een vrijdagnacht keek Michael de film ‘The good fellows’ bij een van zijn vrienden. Het was halfdrie in de ochtend toen hij een telefoontje kreeg van zijn vader. Aan de stem van zijn vader hoorde hij dat het niet goed zat. Een paar weken daarvoor had Michael het plan opgevat om de grootste zoekmachine plat te leggen. Het idee van die macht maakte iets in hem los. Daarnaast wilde hij zich graag bewijzen tegenover zijn medehackers die hem hadden verteld dat het onmogelijk zou zijn om een CNN of Yahoo! te hacken. De sites zouden te geavanceerde netwerken en te veel internetverkeer hebben. Hij ontwikkelde een DoS-aanval die hij ‘Rivolta’ noemde, wat in het Italiaans zoiets als ‘opstand’ betekent. Op 9 februari 2000 in het klaslokaal legde Michael, alias MafiaBoy, Yahoo! en vijf andere grote websites plat met één druk op de knop. Het was een tijd waarin internet booming was en er ongekend werd geïnvesteerd in e-commerce en andere online-bedrijven.
De dagen na die ene druk op de knop kelderde de aandelen in die grote digitale bedrijven. Maar MafiaBoy was niet bang voor de gevolgen. Eerder was hij gefascineerd dat hij als een jongen van vijftien dit vanuit zijn vaders huis kon veroorzaken. Totdat president Bil Clinton over zijn zaak ging praten en een speciale cybersecuritytop bijeen riep. Toen drong het Michael door dat wat hij had gedaan niet een grap was en werd hij zenuwachtig. Uiteindelijk zaten zestien FBI-teams achter hem aan. Michael werd nu vanuit elke hoek zelf aangevallen.
Zijn vader vroeg hem die nacht naar de hoek van de straat te gaan waar de politie hem kon arresteren. Uiteindelijk moest hij acht maanden in ‘open bewaring’, een strafvorm waarbij een minderjarige wordt opgevangen in een opvanghuis om terug te keren in de maatschappij. Daarnaast kreeg hij een internetverbod van vijf jaar, maar de tijd dat hij zijn vrienden niet kon zien, deed hem meer dan de toegang tot het web. Tot slot betaalde hij een boete ter hoogte van 250 Canadese dollars. Een lachertje in het licht van ‘Rivolta’, dat een schade had aangericht van 1,7 miljard Canadese dollars.
‘Hackers paradise’
We zijn inmiddels zeventien jaar verder. Michael hield zich tot 2008 in de luwte, maar sprak uiteindelijk over zijn bijzondere verhaal en schreef een boek over zijn jonge hackerjaren. Momenteel is hij als 32-jarige gestart aan een tweede leven en expert op het gebied van security. Hij helpt met zijn eigen consultancyfirma grote bedrijven met het verbeteren van hun beveiligingsstrategie. Hiervoor werkt hij onder andere samen met HP voor het testen en verbeteren van de security in hun producten. Onlangs is hij benoemd tot voorzitter van de HP Security Advisory Board, die security-inzichten vergaard die HP gebruikt om de producten nog beter te beveiligen tegen hackers.
Hacken is tegenwoordig gemakkelijker geworden, volgens Michael. Wie in zijn tijd wilde hacken, moest eerst zelf aan de slag en tools ontwikkelen. Daarnaast waren regels code destijds een stuk simpeler en minder lang, en dus minder foutgevoelig. Wie vandaag de dag wil hacken, kan desktops downloaden op hackersites. Hierdoor kun je op een simpele manier al het materiaal downloaden wat je nodig hebt om te kunnen hacken. Daarbij zijn programma’s tegenwoordig complexer gecodeerd met het gevolg dat menselijke programmeerfouten sneller opduiken. Ook zijn ontwikkelaars te veel bezig met het continue updaten en lanceren van nieuwe producten waardoor goed gefundeerde codes uitblijven. Men hackt ook niet meer uit nieuwsgierigheid, maar voor geld en informatie.
Volgens Michael is het momenteel een ‘hackers paradise’ en toch voelen veel mensen zich geen target. ‘Ze denken: wat moet men met mij?’ Maar je bent volgens Michael al een target zodra je online gaat en een ip-adres hebt. Er zijn verschillende redenen waarom je interessant bent. Volgens hem zijn internet en computers niet gemaakt voor crimineel gebruik. Ze zijn gemaakt voor je eigen ontwikkeling, en of je dat op een positieve of negatieve manier insteekt, is aan jou.
Infosecurity.nl en Data & Cloud Expo
Michael ‘MafiaBoy’ Demon Calce vertelt zijn verhaal ‘The Mindset of a hacker’ tijdens de vakbeurzen Infosecurity.nl en Data & Cloud Expo die op 1 en 2 november in de Jaarbeurs in Utrecht plaatsvinden. Hij spreekt beide dagen om 15.00 uur voor HP Inc. in de Technologie Arena en sluit om 16.00 uur aan tijdens het Happy Hour in het Computable Café (powered by Protinus IT) om in gesprek te gaan over cybersecurity.
Bekijk ook de film over MafiaBoy ‘Rivolta’.