HP haalt Michael Calce, alias MafiaBoy, naar Nederland!
In februari 2000 was Michael Calce, alias MafiaBoy als Canadese tiener van vijftien verantwoordelijk voor het onderuit halen van de websites van onder meer Amazon, CNN, Dell, eBay en Yahoo. Sommige schattingen beraamden de totaal aangerichte schade op 1,5 miljard dollar. Tegenwoordig is hij president van Optimal Secure, een in Montreal gevestigde securityfirma die bedrijven helpt hun beveiliging te verbeteren. Daarnaast is hij voorzitter van de HP Security Advisory Board. HP haalde hem naar Nederland om zijn ervaringen te delen met pers en publiek.
De plek waar de ontmoeting met Michael Calce plaatsvindt, De Vrije Wolf op het Wolvenplein 27 te Utrecht, is door HP met een zeker gevoel voor dramatiek gekozen. De Vrije Wolf is een voormalig gevangeniscomplex dat sinds kort een nieuwe publieke bestemming heeft gekregen. Het verhaal van Michael ‘MafiaBoy’ Calce (MafiaBoy was in Michaels ‘slechte tijd’ zijn internetalias) zullen de wat oudere securityprofessionals zich wellicht nog herinneren. Het leidde, op initiatief van president Clinton, tot de eerste serieuze top over cybersecurity. Zelf schreef Calce er onder meer een boek over met de titel ‘How I Cracked the Internet and why It’s Still Broken’. Er is zelfs een film over gemaakt, die eerder dit jaar in Canada in première ging.
De historie
Calce, die qua uiterlijk wel iets weg heeft van een maffiatype, vat in zijn presentatie enigszins stoïcijns de misstappen uit zijn jeugd beknopt samen. Hij kreeg als zesjarige al een computer van zijn vader, vertelt hij, en op zijn negende meldde hij zich reeds aan bij een hackersgroep. Zij waren op zoek naar nieuw talent. Op basis van zijn leeftijd werd hij afgewezen, maar op zijn dertiende was het alsnog raak. Hij werd binnengehaald bij een prominente hackersclub. Deels uitgedaagd door zijn medehackers, deels om zichzelf te bewijzen vatte hij op vijftienjarige leeftijd het plan op, om de allergrootste websites onderuit te halen middels een zogeheten DDoS-aanval – Distributed Denial of Service. Een methode om met behulp van de gebundelde, gehackte kracht van vele gedistribueerde bronnen tezamen een bepaalde site zo te bombarderen met serviceverzoeken dat deze het niet meer aankan en crasht; een fenomeen waar veel bedrijven tegenwoordig nog steeds last van hebben, maar eind jaren negentig voor het eerst opgang deed.
Dat DDoS-plan, Rivolta genoemd, slaagde en werd de eerste grootschalig gelukte DDoS-aanval op internet. Dat was in februari 2000, zo’n beetje op de top van de internetbubbel en zorgde voor veel onrust en angst bij beleggers. Hierdoor kelderde de beurswaarde van veel bedrijven, en de getroffen bedrijven in het bijzonder, flink. (vandaar die geschatte schade van 1,5 miljard). De Amerikaanse overheid liet het er niet bij zitten en de FBI ging met grote inzet achter de dader aan. Een maand of wat later werd Calce gepakt en voor de rechter gebracht. Gelukkig voor hem was dat in een tijd dat de wetgever nog niet goed raad wist met het fenomeen hacking, en zeker niet als het nog een tiener van vijftien betrof. Hij werd slechts veroordeeld tot acht maanden heropvoeding, een boete van 250 Canadese dollars, en een internetverbod van vijf jaar.
Het heden
Tegenwoordig verhuurt Calce zich, gebruikmakend van zijn ervaring in hackerskringen, als securityexpert aan het bedrijfsleven. Ook HP maakt van zijn diensten gebruik. Hoe verhoudt de securitywereld van nu zich tot die van zo’n vijftien jaar geleden? De cybercriminaliteit is tegenwoordig veel meer georganiseerde misdaad geworden, stelt hij vast. Hij deed het destijds nog uit jeugdige onbezonnenheid en voor de kick, maar tegenwoordig is het een geprofessionaliseerde handel geworden, waarbij je de nodige hackerstools en -informatie gewoon via internet kunt aanschaffen. Hij waarschuwt ook voor opkomende fenomenen als het Internet of Things (IoT). “Alles wat tegenwoordig met het internet is verbonden, zoals printers en andere apparatuur die onderdeel gaan uitmaken van het Internet of Things, zijn een potentiële kwetsbaarheid”, zegt Calce. Hij is daar, uit oogpunt van security, geen voorstander van. Toch is het volgens hem een trend die onmogelijk is tegen te houden. “Dus koppel je toch allerlei apparaten aan internet, wees dan extra alert op je security.” Een ander belangrijk punt van verandering is volgens Calce dat tegenwoordig ook overheden zich steeds meer bedienen van het hackerswapen. “Je kunt nu zó als hacker aan de slag bij de overheid. Veel hackers van weleer zijn gewoon ambtenaar geworden.”
Waar weinig in is veranderd sinds vijftien jaar geleden, is dat de mens bij veel geslaagde hacks nog steeds de allerzwakste schakel blijkt te zijn. Veel hackers slaan ook nu nog vooral hun slag via ‘social engineering’. “Veronachtzaam dus vooral je security-bewustzijnsprogramma’s niet”, waarschuwt hij.
Calce en HP
Calce verhuurt zich, zoals eerder opgemerkt, tegenwoordig met zijn expertise aan grote bedrijven die een goede security hoog in hun vaandel hebben staan. Zo werkt hij ook sinds enige tijd samen met HP aan het nog verder opschroeven van de security van diens producten, met name de printers. Kort geleden werd hij zelfs benoemd als voorzitter van de HP Security Advisory Board. Calce wijst erop dat hij zo’n stap niet zomaar zet. Sinds hij in de securityindustrie werkzaam is, is het voor hem extra belangrijk zijn geloofwaardigheid als securityexpert te bewaken. Dus toen HP hem benaderde is hij eerst eens zorgvuldig gaan bekijken wat HP allemaal doet op securitygebied.
Calce: “Ik moet zeggen dat ik behoorlijk onder de indruk ben geraakt van HP’s aanpak en technologie. HP zegt: security bestaat niet uit één oplossing, het is een hele stack! Want voor het creëren van een écht veilige omgeving heb je een gelaagde reeks aan oplossingen nodig. Bovendien besteedt HP veel tijd aan het verhogen van de awareness rond security. Het beste bewijs daarvoor is dat ik nu hier in Nederland voor u sta, om met iedereen die dat wil mijn ervaringen te delen”, beëindigt hij ons gesprek met een glimlach.
HP wil met partners bedrijven ontzorgen met krachtige security
Ruben Raadsheer, Chief Technologist HP Nederland, “De verantwoordelijkheid nemen voor goede security wordt steeds belangrijker. Data verlies was al vervelend, ofwel het kostte je de klanten die er last van kregen. Vanaf mei 2018 (GDPR) kan het simpelweg het voortbestaan van het bedrijf bedreigen. Nu zijn we met veel grote bedrijven, die ook zelf over veel security-kennis beschikken, al langere tijd bezig met de voorbereidingen. Maar ik voorzie vooral bij middelgrote en kleine bedrijven uitdagingen die hen boven de pet gaan. Heel graag zouden we vanuit HP juist daar met de partners langsgaan. Ik weet zeker dat ze HP’s kennis, voor zowel PC als Printing security oplossingen, heel goed kunnen gebruiken.”’
Door: Dick Schievels
