Het is het jaar 2000 en de wereld staat op zijn kop. Diverse grote websites, waaronder Yahoo, eBay en Amazon, zijn onbereikbaar door een grootschalige DDoS-aanval. De schade? 1,7 miljard Canadese dollars. Slechts enkele maanden later wordt de dader gevonden: de 15-jarige Canadese Michael Calce, ook wel bekend als Mafiaboy. Nu is hij in de 30 en werkt hij als beveiligingsexpert.
“Ik kreeg mijn eerste computer in 1990, toen ik zes jaar oud was. Mijn ouders waren net gescheiden en mijn vader wist niet goed hoe hij me bezig moest houden. Dit was zijn oplossing. Toen ik het apparaat opstartte, ontdekte ik dat ik het apparaat kon laten doen wat ik wilde”, aldus Calce tijdens het Security Festival van HP.
Dit was een bepalend moment voor hem, al kon hij dat toen nog niet weten. Calce was gefascineerd door de computer en wilde graag uitzoeken wat hij er allemaal mee kon. Pas toen hij in 1993 toegang kreeg tot het internet nam dit echter criminele vormen aan.
Het internet
“Ik had een proefperiode van 30 dagen. Daarbij werd me beloofd dat ik mensen zou vinden met dezelfde interesses. Maar ik vond alleen maar datingprofielen, dus ik begon die mensen belachelijk te maken. Uiteindelijk vond iemand dat zo vervelend dat hij begon te dreigen met het verbreken van mijn verbinding. Ik dacht dat dat niet kon, maar het tegendeel bleek waar.”
Dat intrigeerde Calce. Als iemand anders op afstand zijn verbinding kon verbreken, kon hij dat dan ook bij een ander? En ja: dat kon, met een programma genaamd AOHELL. “Maar mijn proefperiode liep af en ik wilde een manier vinden om toch op het internet te blijven. Toen ontdekte ik dat dit programma je ook kon laten voordoen als administrator.”
Dat bleek de oplossing. Calce deed zich op AOL voor als administrator en vertelde mensen dat hij hun login moest verifiëren vanwege een stroomstoring bij hen. De mensen gaven hun wachtwoorden en zo kon Calce op het internet blijven zitten. Hij was toen slechts 9 jaar oud.
De start van hacken
Niet veel later wilde Calce illegaal een spelletje downloaden. En ook daar bleek een manier voor te zijn. “Ik ontdekte dat die software gedeeld werd via IRC. Ik heb er een tijdje gezocht en vond daar inderdaad mijn spelletje. Maar toen ik het wilde downloaden, kwam ik in een wachtrij terecht.”
“Ik realiseerde me al snel dat hackers die software distribueerde. Toen dacht ik: ‘Ik moet ook een hacker worden, want dan sta ik vooraan die wachtrij.'” Dat was het echte begin van de hack-carrière van Calce. Maar de hackers-wereld zag er toen nog wel anders uit. “De mindset was toen dat je de beste hacker ter wereld wilde zijn. Tegenwoordig draait het alleen maar om geld.”
Calce wist zich echter te bewijzen en in 1997 werd hij gerekruteerd door TNT Force, een prominente Russische hackersgroep. “Daardoor werd ik een doelwit van anderen. Zij wilden zich bewijzen door mij neer te halen. In 1998 en 1999 voerde ik daarom DDoS-aanvallen uit op mijn concurrenten.”
Yahoo
De hack-carrière van Calce kwam in 2000 tot een einde. Maar dat gebeurde niet zonder eerst een gigantische stempel op de geschiedenis achter te laten. “In 2000 werkte ik aan Project Rivolta, de eerste iteratie van een botnet. Ik wilde het testen en besloot het op Yahoo uit te proberen. Dat bleek succesvol.”
Het succes was echter niet genoeg voor Calce. Hoewel Yahoo door de DDoS-aanval offline werd gehaald, wist hij niet zeker of dit nu gewoon geluk was of niet. “Ik besloot nog een test te doen. Nu richtte ik me op Yahoo, Ebay, CNN, Dell en Amazon. En al die tests waren succesvol.”
De aanval had grote gevolgen. Voor het eerst kwamen in Amerika de overheid, FBI en andere organisaties bij elkaar om te praten over cybersecurity. De aandelen van de getroffen bedrijven daalden op de beurs, met een uiteindelijke schade van 1,7 miljard Canadese dollars. En de FBI ging achter Calce aan.
Foto: HP
Omslag
Calce werd datzelfde jaar nog opgepakt en werd veroordeeld. Hij kreeg een kleine geldboete en hij moest een acht maanden doorbrengen in een opvanghuis. Ook kreeg hij een computerverbod van een aantal jaren. Calce had bovendien spijt. “Toen ik 18 of 19 was mocht ik weer achter de computer zitten, en besloot ik me te richten op beveiliging.”
Tegenwoordig werkt Calce als beveiligingsexpert en is hij voorzitter van de HP Security Advisory Board. Een behoorlijke omslag, maar wel een met een duidelijke reden. “Ik ben allereerst opgevoed om een goed persoon te zijn. Daarnaast werd ik tot hacken aangetrokken vanwege de uitdaging. Maar ik ontdekte dat de uitdagingen nog veel groter zijn in de beveiliging.”
Maar ook is het een vorm van boete doen, stelt Calce. “Ik vond dat dit het enige goede was dat ik kon doen na wat ik gedaan had. En ik help mensen graag.” 2,5 jaar geleden werd hij door HP benaderd, en die samenwerking bleek goed. “Ik werd weggeblazen door wat zij doen. Ze hebben een compleet lab voor beveiliging en helpen met het verspreiden van awareness.”
Zwakste plekken
Calce heeft sindsdien geen illegale activiteiten meer uitgevoerd. Maar door zijn werk heeft hij natuurlijk nog wel zicht op het landschap van hackers en hun doelwitten. “De mentaliteit is de afgelopen jaren echt veranderd. 80 procent van hacken draait nu om het verdienen van geld. In mijn tijd verdiende ik helemaal geen geld met wat ik deed.”
“De grootste fout die mensen daarbij maken, is dat ze denken dat ze geen doelwit zijn. Maar als je op het internet zit heb je al waarde voor een hacker, al is het alleen maar vanwege je IP-adres. Iedereen is een doelwit.” Een groot gevaar daarbij is het zogenaamde social engineering, waarbij hackers proberen gegevens afhandig te maken door zich voor te doen als een ander of slimme vragen te stellen.
“Bedrijven denken dat het maken van beveiligde ID-pasjes voor hun werknemers een goede beveiliging is. Maar als ik zo’n pasje namaak en me voordoe als de vice-president van een bedrijf, gaat de beveiliger echt geen vragen stellen. Die laat me zo naar binnen lopen, waarna ik toegang krijg tot alle apparaten in het pand.”
Onderwijs
Volgens Calce is het daarom dan ook belangrijk om kinderen te onderwijzen over digitale veiligheid en over kritisch nadenken. “Mensen durven autoriteit niet in twijfel te brengen. Scholen zouden daar verandering in moeten brengen. Ze leren kinderen al jaren hetzelfde. Prima, maar hoe zit het met de toekomst? Waarom moet je naar een IT-school om over technologie te leren, terwijl iedereen het gebruikt?”
“Ik denk dat we trainingen en cursussen nodig hebben op scholen die draaien om cyber-intelligentie en risico’s online.” Daarbij draait het niet alleen om hacken en de risico’s die daaraan kleven, maar ook om cyberpesten en het verspreiden van naaktfoto’s, stelt Calce.
“Kinderen moeten ook leren hoe ze daarmee omgaan. Je krijgt seksuele voorlichting op school, waarom dan geen digitale veerkracht?”