Michael Calce, kjent under pseudonymet «Mafiaboy», er en av verdens mest profilerte hackere. Da kanadieren bare var en tenåring, skapte han stor furore og ble ettersøkt av FBI. Nå roper han varsko om dagens trusselbilde – og gir oss sine tre beste tips for å ikke bli hacket.
Michael Calce ble for alvor kjent da han som 15-åring hacket noen av verdens største selskaper, deriblant Yahoo, CNN, eBay, Dell og Amazon. Året var 2000, og samtlige angrep var vellykkede. Skadene hadde en estimert verdi på 1,7 milliarder dollar, noe som førte til at «Mafiaboy» raskt endte opp i søkelyset til daværende president Bill Clinton, FBI og kanadisk politi.
I den nyeste episoden av podkasten «Sikkerhetsbruddet» fra HP Norge hever Calce at han oppfant såkalte DDoS-angrep. I korte trekk går dette utpå at flere maskiner angriper én maskin via nettverket for å utkonkurrere båndbredden til offeret. Resultatet er at den hackede maskinen håndterer så mye data at normal trafikk ikke lenger går igjennom.
– Med ett tastetrykk kunne jeg angripe hvem som helst med 50.000 koordinerte-enheter plassert over hele verden. Jeg måtte gi det ett forsøk, for ingen hadde noensinne sett dette før. Derfor bestemte jeg meg for å angripe Yahoo, CNN, eBay, Dell og Amazon, sier han, og legger til:
– Det er et av de største øyeblikkene i mitt liv. Bill Clinton innkalte til verdens første toppmøte for cybersikkerhet på grunn av disse angrepene.
Michael Calce ble pågrepet etter fire måneder. Straffen var en enkel bot på cirka 2500 kroner, samt åtte måneder i åpen varetekt ved et gruppehjem.
Det er lenge siden Calce la fra seg alteregoet «Mafiaboy». I dag befinner han seg på rett side av loven gjennom sitt arbeid som sikkerhetsekspert. Likevel påstår han hardnakket at det meste var bedre før i hackerverdenen. Clarke mener det er én vesentlig forskjell mellom datidens hackere og det miljøet han kjemper mot selv nå:
– Hackerne i dag er mer kriminelle, mer organiserte og kun opptatt av penger. Da jeg hacket handlet det om å utforske muligheter, skryte og få oppmerksomhet. Det var mer uskyldig. I dag er det hovedsakelig kriminelle organisasjoner som utelukkende tenker på penger.
Calce sier at det fortsatt finnes noen få «snille»-hackere der ute, men at situasjonsbildet aldri har vært mer faretruende enn nå. Han peker på utenlandske etterretningstjenester med skumle hensikter, samt organiserte kriminelle med fokus på profitt.
I tillegg hevder eksperten at den enorme tilgangen til informasjon fra internett i dag er dårlig nytt.
– Hvem som helst kan i dag laste ned et fullskala hackerprogram fra nett. Det er veldig enkelt, og du kan se på YouTube-videoer for å lære deg alt. Da jeg vokste opp var hacking en nisjeaktivitet og miljøet var veldig, veldig lite, man måtte bli introdusert inn, sier han, og legger til:
– Jeg tror dette er årsaken til at vi hvert år ser en 300 prosent økning i antall angrep.
Ifølge Michael Calce har de aller fleste bedrifter og privatpersoner langt dårligere sikkerhet enn de selv tror. I podkasten «Sikkerhetsbruddet fra HP Norge», forteller han en historie om da en IT-ansatt fra Saudia Aramco åpnet en lenke til et bilde av tennisstjernen Anna Kournikova. Det hele førte til at selskapet ble hacket, tapte milliarder av kroner og 40.000 systemer ble kompromittert.
Basert på din kunnskap, hvor beskyttet er vi?
– Ah, det er et skummelt spørsmål. Det varierer fra person til person, og bedrift til bedrift. Men hvis jeg må generalisere, vil jeg si at 85 prosent av oss er usikre, og at kun 15 prosent av oss bruker tilstrekkelig tid på sikkerhet, sier Calce.
Det er sikkerhetsekspert Tor Petter Abrahamsen fra HP Norge, helt enig i. Han mener mer IT-opplæring i arbeidslivet er nøkkelen for å unngå dataangrep.
– Datasikkerhet er ikke noe bare IT-avdelingen driver med, det er noe hele bedriften må ivareta. Toppledelsen må gå foran som kulturbærere og investere i tekniske løsninger, og forankre holdninger og kunnskap nedover i organisasjonen. På den måten vil flere bli bevisst på sikkerhet, sier Abrahamsen.
Tre tips for å sikre deg fremover:
Den tidligere superhackeren Michael Calce deler sine tre beste tips for bedre datasikkerhet. Han tror egentlig ikke mangel på råd eller kunnskap er et stort problem. Men sier problemet ligger i at privatpersoner og bedrifter ikke omsetter slik informasjon til faktisk handling.
- Vær bevisst på hva du trykker på
Folk flest har blitt ukritiske og numne til hva de klikker seg inn på. Calce beskriver tendensen som «click happy people». Vær derfor kritisk og bevisst på hva du klikker deg inn på!
- Maskinvare og datasikkerhet går hånd i hånd
Mange tror at programvare, eksempelvis antivirus og andre nedlastbare program, er alt man trenger for å ha god datasikkerhet. Calce mener at å ha maskinvare med integrerte sikkerhetsløsninger er minst like viktig. Han råder derfor til å handle maskiner med gode, integrerte løsninger.
- Lei inn en hacker
Denne er kanskje spesielt rettet mot bedrifter, men også privatpersoner kan gjøre dette. Calce mener man bør leie en såkalt tredjeparts penetrasjonstester. De vil prøve å hacke deg uten å gjøre ordentlig skade, samtidig som de lokaliserer svakheter i systemet ditt.
Hele intervjuet med MafiaBoy kan kan du høre i podkasten «Sikkerhetsbruddet», laget av HP Norge. I episoden forteller Calce mer om sin «oppvekst» i hacker-miljøet og hva han mener dagens og fremtidens utfordringer for norske bedrifter er.
Sikkehetsbruddet er en podcast om data-angrep og IT-sikkerhet laget av HP Norge, gjennom hittil fire episoder ser programleder Nils Johan Halvorsen og IT-sikkerhetsekspert Tor Petter Abrahamsen fra HP Norge på kjente hendelser innenfor temaet. Med gjester diskuterer de hva hendelsene har å si for norske bedrifter og folk flest. Episode 1 handler om Østre Toten Fylkeskommune og det massive data-angrepet de ble utsatt for, Episode 2 handler om da over 20 000 Schibsted-passord var på avveie og i Episode 3 får vi et unikt innblikk hos Kripos og Nasjonalt Cyberkrimsenter.
