Het moet voor hem een surrealistische gewaarwording zijn: ooit op de most wanted-lijst van de FBI, vandaag de belangrijkste spreker tijdens de ict-vakbeurs Infosecurity.nl en in het Computable Café. Michael Calce, in een vorig leven de illustere hacker MafiaBoy, legt uit hoe zijn brein in die dagen werkte en hoe hij overliep naar ‘the good guys’.
Het is niet ongemerkt gebleven. Theater 1 op de beursvloer is tot de nok toe gevuld voor ‘The Mindset of a Hacker’, de presentatie die Michael ‘Mafiaboy’ Calce op uitnodiging van HP verzorgt. Voor wie het gemist heeft: Calce legde begin jaren negentig als tiener eigenhandig de websites van Yahoo, CNN, Dell, Amazon en eBay plat. Geschatte economische schade: 1,5 miljard euro, ongekend voor die tijd.
Aan een publiek van ruim 150 man legt Calce uit dat het hem destijds niet te doen was om het moedwillig saboteren van de sites, ook niet uit winstbejag (‘Ik heb er geen dollar aan verdiend’), maar om de uitdaging, uit nieuwsgierigheid naar en fascinatie voor technologie. Het was notabene een quote van zijn idool Bill Gates die Calce triggerde om op onderzoek te gaan: ‘I think it’s fair to say that personal computers have become the most empowering tool we’ve ever created. They’re tools of communication, they’re tools of creativity, and they can be shaped by their user’, aldus de voormalige Microsoft-topman. Vooral het ‘shaped by their user’ zette Calce op het spoor van zijn exercitie. Calce verduidelijkt: ‘De essentie van hacking is om iets te nemen en er iets mee te doen waarvoor het niet bedoeld is.’ Het is ook precies daarom dat hackerslegende John Draper zijn andere held is.
Captain Crunch, zoals Drapers alias luidt, ontdekte in de jaren zeventig (!) dat het gratis fluitje bij de cornflakes van Cap n’ Crunch precies de juiste frequentie bezat als telefoonmaatschappij AT&T gebruikte in zijn telefooncentrales. Door met dat fluitje telefoonlijnen te manipuleren, belde Draper gratis. Calce kan een glimlach niet onderdrukken, om daarna in vogelvlucht zijn eigen krankzinnige levensverhaal te vertellen, dat van die Canadese nerd die zich ontpopt tot de schrik van de digitale wereld – en uiteindelijk na een omvangrijke klopjacht tegen de lamp loopt.
Motivatie
Dat was toen, vandaag de dag gaat MafiaBoy door als gerespecteerde spreker die bedrijven en overheden wijst op gevaren en zwakheden in hun cybersecurity. En daar is volgens hem genoeg werk te verrichten. De ontwikkelingen op dat gebied baren hem tegelijk zorgen. Gevaarlijk noemt hij het dat hedendaagse hackers hun motivatie louter en alleen lijken te halen uit geld, terwijl voor hen de deur wagenwijd openstaat naar een schier oneindige reeks tools. Calce: ‘Hacking as a service. Voor twintig dollar bestel je een hackaanval.’
Volgens Calce loert het gevaar overal, niet in de laatste plaats vanwege de kwetsbaarheid van de vitale infrastructuur. Een ander punt van zorg – de veiligheidsexpert komt er tijdens zijn presentaties herhaaldelijk op terug – is ransomware. Calce noemt het een attractief middel voor hackers, een techniek bovendien die binnen de hackersgemeenschap een goed aureool heeft. Hij ziet voor alles de opmars van ransomware in de medische wereld als een ernstige ontwikkeling. Hackers die zich toegang verschaffen tot medische dossiers – alsof dat nog niet gebeurt – en bij het uitblijven van losgeld bijvoorbeeld de medicijndoseringen manipuleren, MafiaBoy moet er niet aan denken. Of pacemakers die aan de grillen van hackers zijn overgeleverd. ‘Pretty scary.’
En daar hoef je niet eens van op te kijken, want de hand van de hacker reikt al tot aan de Amerikaanse presidentsverkiezingen. En het gaat volgens Calce nog veel verder dan verkiezingen: ‘De hacker van nu bereikt al zijn doelen.’ Daarvoor hoef je je alleen maar te verdiepen in de cyberaanval op het internetbedrijf Dyn (2016), waarbij het internet of things werd misbruikt. In dit licht valt ook de naam van het toekomstige wonderapparaat, de quantumcomputer. Inderdaad, de quantumcomputer zal encryptie overbodig maken, maar zal ook met nieuwe soorten van encryptie komen waardoor het tegelijk naar een hoger plan wordt getild. Daarover is Calce optimistisch.
Wildwest
Uit het publiek komt de vraag hoe alle dreigingen het hoofd te bieden. Dat is volgens Calce niet zo heel eenvoudig. ‘Dicht bij het beleid blijven, aan afspraken houden, anders wordt het een wildwest. Tegelijkertijd moet de overheid bedrijven stimuleren om compliance te zijn.’ En over overheid gesproken, Calce vindt het een stap in de goede richting als nationale overheden hierin meer de samenwerking met elkaar zoeken. Maar – zoals het iemand afkomstig uit het ‘vrije westen’ betaamt – van te veel overheidsbemoeienis kan geen sprake zijn, want internet moet wel een vrij medium blijven.
Opvallend is dat Calce niet wenst mee te doen aan het wegzetten van hackers als het schuim der natie. Niet alle hackers, zegt hij, hebben kwade bedoelingen. Bovendien krijgen hackers vaak iets te makkelijk de zwartepiet toegespeeld. Hij brengt de cyberaanval op Sony Pictures Entertainment in 2014 in herinnering, waarvoor de schuld zeer mogelijk ten onrechte bij hackers werd gelegd. ‘Do we need hackers?’, klinkt het uit de zaal. ‘Ja,’ is het antwoord van Calce. ‘Zij stuwen de evolutie voort, dagen ons uit om ons te ontwikkelen, om de technologie verder te verbeteren. Zij testen het systeem, vinden de bug, helpen innovaties op gang, met als resultaat betere en veiligere technologie. Op hun eigen manier brengen hackers ons vooruit.’ Ook Nederland laat zich daarin overigens niet onbetuigd. ‘Veel van mijn hackersvrienden komen uit Nederland.’
Of hij wil of niet, even later neemt de bijeenkomst de toehoorders toch weer mee terug in de tijd, naar zeventien jaar geleden. Of hij spijt voelt? Spijt, schuld, ja, ergens wel. Maar als Calce het allemaal over kon doen, zou hij het weliswaar niet weer zó doen, maar wel op een andere manier. ’Om awareness te creëren. Dat ik de aandacht op een probleem heb gevestigd, daar ben ik trots op. Mijn huidige missie is om mijn kennis ten goede in te zetten, op een globale schaal. Ik richt me niet op één bedrijf of technologie, maar probeer de wereld bewust te maken van de gevaren. Maar nee, ik ga niet meer naar waar ik geweest ben, al is het omdat ik niet van gevangenissen houd.’
