‘Als kind had ik al een fascinatie voor lego, puzzels en raadsels. Ik wilde oplossingen verzinnen en dingen uit het niets opbouwen. Dat is typerend voor de mindset van een hacker’, vertelt Calce. ‘Hacken wordt vooral gezien als iets negatiefs, maar dat is het niet altijd. Hacken is gebruik maken van technologie, maar dan op een andere manier dan de oorspronkelijk bedoeling. Dat kan zowel goed als slecht zijn.’
Meest exclusieve Russische hackersgroep
Zijn eerste computer krijgt Calce van zijn vader, hij is dan zes jaar. ‘Fascinerend hoe dat apparaat voor me stond, wachtend op opdrachten. ‘Dit device doet alles wat ik wil’, schoot er door me heen.’ Calce vindt slimme manieren om onbeperkt op internet te kunnen, gratis games te downloaden en tools om mensen van het web te gooien.
Als hij tien jaar is komt hij bij een hackersgroep terecht. Vanwege zijn leeftijd wordt hij in eerste instantie niet toegelaten, maar hij weet de groep toch te overtuigen. Calce leert ondertussen steeds meer over hacken en programmeren. Op zijn dertiende wordt hij gerekruteerd door de meest exclusieve Russische hackersgroep TNT. ‘Daar kom je niet zomaar bij. Als ze jou en je skills willen, benaderen ze jou.’ Met deze groep ontwikkelt Calce onder andere DoS-aanvallen. Bij een DoS-aanval is een service niet meer beschikbaar. Dat kan bijvoorbeeld komen doordat er heel veel data tegelijk naar de server wordt gestuurd, waardoor deze vastloopt.
Zestien FBI teams
2000 is het jaar van Calce’s DoS-aanval Rivolta, e-commerce is op dat moment booming. Terwijl Calce in de klas zit, legt hij met één druk op de knop Yahoo plat. In die weken daarna valt hij ook CNN, eBay, Dell en Amazon aan. Er ontstaat paniek, mensen dumpen massaal hun aandelen en de markt crasht. Schade: 1,7 miljard dollar.
‘Toen ik Bill Clinton op televisie zag praten over de incidenten realiseerde ik me hoe serieus het was en dat ik flink in de problemen zat’. Zestien FBI-teams gaan naar Calce op zoek. Het duurt vier maanden voor ze hem pakken. ‘Nog nooit hadden ze zoiets meegemaakt.’ Zijn straf is acht maanden in een opvanghuis voor jeugddelinquenten, een boete van 250 dollar en een computerverbod van vijf jaar. ‘Deze periode heb ik vooral gebruikt voor reflectie.’
Hacken is industrie
Inmiddels is Calce directeur van zijn eigen bedrijf ‘Optimal Secure’, werkt hij voor HP, geeft hij keynotes, heeft hij een bestseller geschreven en helpt hij bedrijven met hun beveiliging. Hij heeft nog steeds contact met zijn vroegere hackvrienden. ‘Nooit heb ik iemand verlinkt aan de FBI. Daardoor heb ik veel respect binnen de community, ze accepteren dat ik nu bedrijven help met de beveiliging.’
Volgens Calce is er wel veel veranderd binnen de hackerswereld. ‘Destijds zagen we het als een soort speeltuin, we hackten voor de lol. Nu draait hacken alleen nog maar om geld, het is een industrie geworden. Gevaarlijk vind ik ook de state sponsored attacks. Dat geeft hackers oneindige middelen om zo bijvoorbeeld verkiezingen te beïnvloeden. Toen ik hackte kon ik me niet voorstellen dat dit ooit zou gebeuren.’
Hacker vs. bankovervaller
De meeste bedrijven zijn zich nog onvoldoende bewust van de beveiligingsrisico’s. ‘Als ik bij bedrijven onderzoek doe naar beveiliging, ben ik geschokt hoe makkelijk ik overal kan binnenkomen.’ Vooral de endpoints, de apparaten die we gebruiken en verbonden zijn aan het netwerk, zijn slecht beveiligd. Vergelijk het met een bankovervaller. Die komt binnen via de vloer, niet via de deur. Dan heb je er dus niets aan om alleen die deur heel goed te beveiligen. Hackers denken op dezelfde manier. Beveiliging draait dan ook niet om één oplossing, maar om een stack van oplossingen. Bedrijven focussen nu vooral op het beveiligen van de cloud en vergeten de endpoints. Het heeft allebei evenveel aandacht nodig.’
Printers
Het is niet de vraag óf, maar wanneer een bedrijf slachtoffer wordt van een inbreuk. ‘Het is op dit moment een paradijs voor hackers. In tachtig procent van de gevallen kiezen hackers hun targets willekeurig, je bent al een target op het moment dat je een IP-adres hebt. Meestal gaan ze voor het bedrijf waar ze het makkelijkst kunnen binnenkomen.’
Het meest onderschatte apparaat is de printer. ‘Bedrijfsprinters staan in contact met tientallen computers en zijn altijd verbonden met het netwerk. Het is voor een hacker enorm simpel om via de printer een bedrijf binnen te komen. Zorg dus dat je die printers beveiligd.’
De zwakste schakels zijn volgens Calce ook de medewerkers of manager zelf. ‘Mensen werken op verschillende plekken, loggen in op wifi-netwerken van koffiebars of treinen en gebruiken overal hetzelfde wachtwoord. Bewustzijn ontstaat vaak pas als ze persoonlijk met een inbreuk te maken krijgen. Bedrijven moeten naar een proactieve houding, in plaats van een reactieve.’
Fundament
Een groot probleem is dat bedrijven geld willen verdienen en dat er dus steeds meer nieuwe technologieën op de markt komen, zonder dat de beveiligingsfundament sterk genoeg is. ‘Voordat we verder bouwen moet de basis goed zijn. Met de komst van nieuwe technologieën als artificial intelligence wordt het alleen maar urgenter om de beveiliging goed te krijgen. Fixen we het niet, dan hebben we straks echt een groot probleem.’
Meer Mafiaboy? HP maakte een korte documentaire over zijn verhaal: