Som tonåring sänkte Michael ”Mafiaboy” Calce storföretag som Yahoo, eBay, CNN och Amazon. Idag är han en av världens mest kända it-säkerhetsexperter och vet vad ditt företag borde oroa sig för – men också hur du kan skydda dig. Nu arbetar han med HP för att öka medvetenheten kring it-säkerhet och hjälper företag att öka säkerheten i deras skrivare och nätverk.
Michael Calce var fem år när han fick sin första dator. Tio år senare hade han utvecklat världens första botnät, sänkt några av världens mest kända företag genom massiva överbelastningsattacker och hamnat på FBI:s lista över de mest jagade brottslingarna. Idag är han en av världens mest namnkunniga experter på it-säkerhet, med unik inblick i hur cyberkriminella arbetar. På IDG Security Day 2020 delade han med sig av sin kunskap.
Internet och andra nätverkstillämpningar har ju mognat rejält sedan du genomförde dina attacker för 20 år sedan. Har säkerheten inte ökat enormt på den tiden?
– Det är en pågående kamp. Vi utvecklar allt säkrare tekniker, men attackerna utvecklas också och ökar ständigt i mängd. Och samma nätverksprotokoll används fortfarande, vilket gör att t ex buffertspill fortfarande kan exploateras. Det största problemet idag är att attackytan blir allt större. I datorernas ungdom var program på tusental eller tiotusentals rader kod. Ett program idag kan ha 100 miljoner rader kod, så sannolikheten att en hacker hittar ett misstag i någon av dem är mycket större. It-säkerhet är fortfarande mycket som ett plåster: vi kan lappa och laga, men vad vi skulle behöva göra är att utveckla Internet 2.0. Nya protokoll håller på att utvecklas, men att nå 100 % säkerhet är omöjligt, så dit kommer vi aldrig att nå.
Hur har hackers och deras mål ändrats under den tid du varit aktiv?
– Attityden har skiftat. På det sena 1990-talet handlade det om ego och uppmärksamhet: ”kolla vilken häftig grej jag gjorde”. Idag är drivkraften nästan uteslutande ekonomisk. Det finns fortfarande en liten community som är pusselorienterad och inte är ute efter att orsaka skada, där hackarna hittar buggar och rapporterar dem istället för att utnyttja dem. Men den communityn är minimal i jämförelse med den kriminella gruppen. Det är synd, för rätt utfört driver hackandet innovation och utvecklar it-kunskaper enormt. Den dimensionen uppmärksammas nästan aldrig i media.
De ekonomiska incitamenten har ju gjort dagens hackare skickliga. Blir det allt svårare för it-säkerhetspersonal att hålla ställningarna?
– Ja, och antalet hackare är ju överlägset större än antalet CISO:er. Lagstiftningen har skärpts genom åren, men vi ser att allt fler attacker genomförs av statliga aktörer, med andra ord av hackare som inte behöver oroa sig för att hamna i fängelse. Det bästa man kan göra idag är att vara så proaktiv som möjligt: se till att ha aktuell kunskap och använda den senaste tekniken.
Spektakulära attacker får ju ofta uppmärksamhet i media. Borde företag oroa sig mer för de mer vardagliga cyberbrotten?
– Spektakulära attacker kan orsaka mycket skada, men de är relativt ovanliga. Det är mängdattackerna man bör oroa sig för: malware och ransomware är de stora problemen för företag idag. Men ett stort problem är att många organisationer inte oroar sig alls! Med tanke på hur beroende dagens företag är av att ha fungerande it-miljöer är det helt otroligt att de inte avsätter mer pengar till säkerhetsarbetet.
Hur borde företag tänka, tycker du?
– It-säkerhetsarbetet borde ha mycket högre prioritet och fem gånger så stor budget, ju större företag desto viktigare att inte snåla. Den enda sektorn som verkar förstå det här idag är bank och finans – de har kunskap om riskerna och arbetar aktivt för att bli så ointagliga som möjligt. Ingen gillar att höra att de borde spendera mer pengar men en stor del av lösningen är att anställa och hyra in kompetens, och det är inte gratis. Fler borde också överväga att ta in externa konsulter, eller låta en extern säkerhetsexpert göra en genomgång. Men där talar jag förstås lite i egen sak.
Se Michael ”Mafiaboy” Calces keynote på IDG Security Day 2020
Molnet då? Är det inte ett sätt att outsourca säkerhet till specialister?
– Det ger en falsk känsla av säkerhet. Visst, molnleverantörerna kan ha hög säkerhetskompetens men slutanvändaren kan fortfarande vara den svaga länken. Företag borde inte lägga alla ägg i en korg, utan arbeta med lager av säkerhet. Moln kan vara en del i den strategin, men inte en universallösning.
Vilka är dina tips till företag som vill driva sin it-säkerhet framåt?
– För det första: se till att lyfta it-säkerhet på dagordningen, och ge den en viktigare roll i företaget. För det andra: säkra era enheter. Många är så fokuserade på att skapa ett säkert skal att man glömmer bort att varje uppkopplad enhet är en attackvektor. Varje skrivare eller kopiator i nätverket är en potentiell väg in, och bör ha inbyggd säkerhet på hårdvarunivå. Och slutligen: utbilda de anställda i social engineering, och gör alla medvetna om att säkerhet är ett pågående arbete – inte ett mål som kan uppnås.
Michael Calce arbetar som säkerhetsexpert och föreläsare och är involverad i projektet trustswap.org som utvecklar en plattform för säkra betallösningar baserad på blockchainteknik.
