”You figure it out”. Med de orden från sin egen far började livet som hacker för en liten kille som med tiden blev en av världens mest ökända hackare, och under en tid den av FBI mest jagade personen i USA – vi talar om Michael ”Mafiaboy” Calce. Pappan var framgångsrik företagare som efter en skilsmässa från Michaels mamma köpte en dator till grabben för att han skulle sysselsätta sig med något under de helger han bodde hos sin pappa. Michael Calce var då fem år gammal.

Men det fanns tecken redan tidigare. Lille Michael var i mycket unga år helt såld på problemlösning; han slukade alla häften med ”knep & knåp” han kunde komma över och löste alla problem oavsett svårighetsgrad. Längst bak i alla häften fanns facit tillsamman med metoderna för hur problemen skulle lösas, det vill säga algoritmerna. Michaels mamma kollade facit och såg att pojken löste ju alla problem, men sällan på det sätt som föreskrevs i facit. Michael löste problemen på sitt eget sätt.

– Det finns två typer av människor, säger Michael Calce när han föreläser för en skara it-säkerhetsfolk på ett lunchseminarium arrangerat av HP, de som tänker innanför boxen och de som tänker utanför boxen; hackare har ingen box.

Hur kunde någon annan stänga honom ute?

Sedan, berättar Michael Calce, gick det som det gick. Han fick ett prova-på-erbjudande från America Online (AOL) och kunde koppla upp sig på nätet. En dag blev han petad från AOL av en annan användare, och han blev fascinerad – hur kunde någon annan stänga ute honom, bara sådär? Det tog Michael Calce, vid det här laget sju år gammal, reda på och där och då började han hacka. Det visade sig att den andra användaren använde en mjukvara som gav hen den där makten. Michael Calce fick tag på mjukvaran och började själv peta användare, för att han kunde.

I nästa steg fick han tag på ett hack som gjorde att han kunde fejka att han var administratör på AOL. Han hade inte administratörsrättigheter, men han kunde se till att hans användarnamn fick samma färgkod som administratörerna. Hans första experiment med social manipulation blev 100 procent framgångsrikt. Han skickade ett meddelande till fyra andra användare på AOL och skrev att på grund av ett strömavbrott behövde han återställa deras konton och behövde deras lösenord. Alla svarade.

Michael ”Mafiaboy” Calce hacker
Michael ”Mafiaboy” Calce.

AOL blev snabbt för enkelt för den begåvade unge hackaren. Han hörde talas om IRC, skaffade ett konto och kom i kontakt med andra hackare. Sen gick det snabbt. När Michael Calce var tolv blev han upptagen i den mest ökända hackargruppen, TNT, som låg bakom uppåt hälften av de värsta hacken på den tiden. Han snöade in på ddos-attacker, men insåg att han inte kunde skapa så mycket rabalder från en enda Pentium 133-dator – det räckte med åtta samtida ssh-sessioner så brakade datorn ihop. Alltså utvecklade han, nu känd på IRC som MafiaBoy (han har italienskt påbrå) världens första botnät.

Mafiaboy var nu 15 år och boy blev det rabalder. Med sitt botnät som tillhygge sänkte han på kort tid Yahoo, Ebay, CNN och Amazon. Alla sajter och tjänster kraschade till en kostnad på sammanlagt 1,7 miljarder dollar. Och nu blev det reaktioner.

Fick honom att fundera

Nu inleddes en jakt på förövaren som ingen visste var en 15-årig grabb med extraordinära talanger för att förstöra it-system. På tv såg han hur USA:s president Bill Clinton, tillsammans med justitieministern och Kanadas polischef, sa att de skulle göra allt som stod i deras makt att sätta fast hackern. Nu började Michael Calce att fundera, ordentligt.

Det tog de rättsvårdande myndigheterna fyra månader att spåra och gripa Michael Calce i hans hem. Under den tiden förstod han att det skulle gå åt pipan, och han bestämde sig för att ta ett samtal med sina föräldrar. Han började med pappan.

– Jag valde tillfället med omsorg. Jag passade på att snacka med farsan när han åt en portion cannelloni – han var alltid på bäst humör när han åt sin cannelloni.

Sagt och gjort. Pappan, och senare mamman, blev förstås chockade men det hela mynnade ut i föräldrarnas råd att han bara kunde göra en sak, och det var att ägna resten av sitt liv åt att se till att hjälpa andra mot sådana som han själv.

Michael Calce jämför sig direkt med bedrägerikonstnären Frank Abagnale, porträtterad av Leonardo DiCaprio i filmen ”Catch me if you can”, som även han bytte sida och har sedan dess varit oumbärlig för FBI i jakten på bedragare. Michael Calce driver sedan länge sitt eget it-säkerhetsföretag och hjälper, och tjänar förstås pengar, på att hjälpa företag att stärka sin it-säkerhet.

Det dummaste han någonsin sett

På HP:s seminarium pratar Michel Calce om de vanliga sakerna inom it-säkerhet, och hur det bara blir värre ju mer vi digitaliserar samhället. Michael tar särskilt upp riskerna med IoT och ”smarta saker”. Som smarta saker görs idag anser Michael att det är det dummaste han någonsin sett.

– Varje smart pryl är bara ännu en väg in, säger han.

– Är det vettigt att ha ett smart kylskåp och kolla innehållet med en app, när det bara är att öppna dörren”?

Jag frågar honom om han själv blivit hackad och hur han skyddar sig själv? Jag ber honom nämna tre vanliga fel människor gör, som han inte gör.

– Jag har aldrig blivit hackad. Vad jag vet, säger Michael Calce.

– Jag använder aldrig sociala medier, förutom Linkedin av affärsskäl, och jag sätter varje grunka jag har hemma på ett eget subnät. Jag började med en ip-adress, men allt eftersom frugan släpar hem saker och kopplar in dem så sätter jag dem på varsitt subnät. Nu har vi typ 20 ip-adresser hemma. Blir en grej hackad kan det åtminstone inte sprida sig i nätverket. Sen använder jag en två-vägs brandvägg, alltså jag filtrerar även utgående trafik.

Michael ”Mafiaboy” Calce säger att antalet dagliga attacker är idag så många att de inte går att räkna. Varje lyckat hack kostar företagen i snitt 8–16 miljoner dollar, och att bli hackad är inte en om-fråga utan en när-fråga. Skiftet har redan hänt från ”hur ska jag skydda mig” till ”hur ska jag agera när jag blir hackad”. Skydd idag handlar bara om att inte vara den lågt hängande frukten, att ge hackarna en dålig ROI och få dem att dra vidare.

Läs också:
It-företaget ägdes i två år – tills hackaren fyllde server-disken
Avancerad hackargrupp upptäckt – har hållit sig dold i åtta år