De lessons learned van voormalig tienerhacker Michael Calce

Michael Calce MafiaBoy

‘MafiaBoy’ Michael Calce hackte als 15-jarige tiener’s werelds grootste bedrijven en nu helpt hij organisaties zich te wapenen tegen cybercriminelen.

Michael Calce (internetalias ‘MafiaBoy’) is een van de belangrijkste redenen dat er rond de eeuwwisseling eindelijk meer aandacht voor cybersecurity kwam. In februari 2000 voerde de toen 15-jarige Canadees iets uit wat weinigen voor mogelijk hielden. Met een DDoS-aanval legde hij de sites van onder meer Amazon, CNN, Dell, eBay en Yahoo – op dat moment de grootste zoekmachine ter wereld – plat.

‘Er was veel paniek op de New York Stock Exchange, omdat daar volop werd geïnvesteerd in deze e-commerce bedrijven’, herinnert Calce zich nog in gesprek met NPR. ‘Beleggers vreesden voor hun geld, omdat een tiener blijkbaar in staat was hun bedrijven plat te leggen.’

Schade

Calce’s aanval werd breed uitgemeten in de media en de schade werd geschat op 1,5 miljard euro. Reden genoeg voor de toenmalig Amerikaanse president Bill Clinton om een cybersecuritytop bijeen te roepen en te komen met nieuwe wetgeving.

Michael Calce werd in april van hetzelfde jaar opgepakt en na een rechtszaak van anderhalf jaar schuldig bevonden aan 56 aanklachten die voortvloeiden uit hacking. Hij moest 8 maanden brommen en mocht vijf jaar geen gebruik van internet maken.

Grootschalige DDoS-aanval

Die laatste straf viel hem misschien wel het zwaarst. In 1993 ging de 9-jarige Calce voor het eerst het wereldwijde web op en algauw had hij door hoe hij zijn proefabonnement kon verlengen door de inloggegevens van andere gebruikers te achterhalen. Vanaf 1995 verdiepte hij zich in programmeren en hacken.

‘De hackinggemeenschap was gesloten en argwanend. Ik moest studeren om erbij te horen: van buffer overflow tot Linux.’ En met succes: een paar jaar later maakte hij deel uit van de befaamde Russische hackingclub TNT en bereidde hij de eerste grootschalige DDoS-aanval voor.

Boekje open

Het duurde tot 2008 en de verschijning van zijn memoir voordat Calce zich in het openbaar uitsprak over zijn criminele gedrag. ‘In de tijd van de aanval maakte ik deel uit van een chatgroep waar een ware oorlog tussen hackers gaande was. Voor mij was hacken vooral een avontuur, ik wilde kijken hoe ver ik kon gaan.’

Toen andere hackers hem vertelden dat het onmogelijk zou zijn om CNN of Yahoo plat te leggen vanwege hun geavanceerde netwerken, besloot Calce om hen het tegendeel te bewijzen. ‘Ik had nooit verwacht dat het zou lukken.’

Pas na de aanval besefte de tiener de gevolgen van zijn actie. Hij heeft spijt van de schade die hij heeft aangericht, maar ziet het ook als een broodnodige wake-up call voor veel bedrijven. Inmiddels heeft hij een consultancyfirma op het gebied van online security en werkt hij onder meer samen met HP om de beveiliging van hun producten te testen en verbeteren.

Ware industrie

Volgens Calce is er veel veranderd sinds de begindagen van internet en hacking. Cybercriminaliteit is een ware industrie geworden. ‘Destijds deden we het voor de kick en niet om geld te verdienen. Vandaag gaan de zero-day-exploits naar de hoogste bieder’, vertelt hij tegen Computable.

Ook ligt de drempel lager. ‘Ik kan iedereen in een half uur opleiden tot hacker. Je hoeft er weinig voor te kunnen. Malafide toepassingen liggen voor het grijpen op internet en zijn vaak gratis.’ Een populaire, gratis tool voor hackers is Kali Linux, waarmee bijvoorbeeld wachtwoorden gekraakt kunnen worden. Ook is het mogelijk om kwetsbaarheden op te sporen met de software, en dat aantal is de afgelopen jaren geëxplodeerd. ‘Opkomende technologieën (zoals wearables en IoT, red.) creëren gevaren.’

Cybercrime bestrijden

Andere veranderingen hebben te maken met de security-industrie en de rol van de overheid. Rond de eeuwwisseling stond die industrie nog in de kinderschoenen. ‘Vandaag zijn er meer mogelijkheden om cybercrime te bestrijden en gaan bedrijven er doordachter mee om. Honderd procent veiligheid bestaat niet, maar het doel moet zijn om dat percentage te benaderen.’

Overheden treden ondertussen steeds vaker op als sponsor van hackers. ‘Je kan vandaag als hacker perfect aan de slag voor de overheid. Je krijgt een beschermd statuut en veel hackers zijn ambtenaren geworden.’

Laaghangend fruit

De voormalig tienerhacker ziet daarnaast zaken die niet zijn veranderd, zoals de menselijke factor. ‘Het is verrassend hoe makkelijk je iemand in de luren kan leggen.’ Denk aan het verleiden van gebruikers om te verbinden met een malafide toegangspunt dat hun device van malware voorziet.

De mens blijft een zwakke schakel. Sowieso zoeken hackers vooral naar het laaghangende fruit. ‘Hackers zijn als bankrovers. Ze kiezen de zwakste schakel. Ze kraken niet zozeer de deur van de kluis, maar gaan door de vloer.’ Beveiliging van die vloer wordt vaak vergeten, getuige het grote aantal zakelijke printers dat slecht of niet is beveiligd.

De security-expert spreekt geregeld over zijn visie op cybersecurity en laat daarbij zien hoe het beter kan. Bijvoorbeeld door deze maatregelen te nemen:

  • Download goede beveiligingssoftware (firewall, antivirus e.d.) en zorg dat die up-to-date is;
  • Gebruik sterke wachtwoorden en verander ze eens in de zoveel tijd, bijvoorbeeld op het moment dat je een nieuwe tandenborstel koopt;
  • Doe onderzoek naar online privacy en security. ‘We besteden zoveel tijd aan social media – wat is dan een uurtje onderzoek naar betere beveiliging?’;
  • Wees kritisch op je mobiele apparaten en waarvoor je die gebruikt. Een keylogger op je telefoon kan een hacker toegang geven tot al je accounts;
  • Zorg dat je patches en updates voor je besturingssysteem direct installeert;
  • Verbind alleen met beveiligde wifi-netwerken en schakel bluetooth na gebruik uit.

Benieuwd naar de laatste ontwikkelingen op het gebied van samenwerkingstools en security? Bekijk dan gratis het webinar terug.