INTERVISTA: MafiaBoy, uno dei 10 più grandi hacker del mondo

Ad un evento a Palo Alto, in California, il showmetech Hacker canadese intervistato Michele Calce, noto anche online come MafiaBoy. All'età di 15 anni, ha acquisito notorietà per abbattere siti come Yahoo! (all'epoca, più grande del Google), il gigante della vendita al dettaglio Amazon, oltre ad altri importanti siti come quelli di Dell, Fifa, eBay e la rete di notizie CNN.

Gli attacchi sono stati effettuati utilizzando una tecnica chiamata Protezione (Distributed Denial of Service, in inglese), dove il numero di richieste eccessive a una pagina finisce per far crollare il server su cui è ospitata. Si stima che le perdite globali causate dalle ore di down dei siti in quell'anno 2000 abbiano raggiunto 1.2 miliardi di dollari.

Durante l'intervista, Michael ha spiegato i percorsi che lo hanno portato a diventare a degli hacker, come i genitori dovrebbero trattare un bambino che dimostra interesse per l'apprendimento del codice del computer e lo stato attuale della sicurezza online in un mondo che sta diventando sempre più popolare con i dispositivi connessi, tra gli altri argomenti.

Dai un'occhiata qui sotto:

Puoi raccontarci un po' della tua storia, MafiaBoy?

Ovviamente! Sono cresciuto a Montreal, in Quebec. Mia madre è di Torino e mio padre di Napoli. Ho messo le mani per la prima volta su un computer quando avevo sei anni. L'ho adorato e ne sono stato attratto fin dall'inizio. Quando Internet è diventato accessibile per me, sono stato davvero coinvolto nella tecnologia, trascorrendo ore al giorno al computer.

Mi piacciono i puzzle, sono curioso per natura. Credo fosse inevitabile per me entrare nell'area di pirateria informatica perché amo la sfida che il territorio offriva e offre ancora oggi. Sono entrato a far parte di una comunità che alla fine è diventata una famiglia in cui tutti i membri avevano gli stessi obiettivi e intenzioni. Questa è stata una delle cose migliori.

Ero affascinato dal modo in cui funziona la tecnologia, specialmente sotto la superficie che tutti vedono, sai? capire come gesta si scrivono come buffer overflow lavorare, come l'heap trabocca lavoro, tutto questo mi affascina.

È stato facile per te imparare tutto questo? 

Dal momento in cui ho installato diversi sistemi operativi, credo che questo mi abbia dato una migliore comprensione di ciò che stavo facendo e, da lì, ho iniziato a imparare a programmare. primo C, Delfi, Pascal, linguaggi di programmazione più semplici. In effetti, la parte più difficile dell'irruzione nell'hacking è stata la comunità. A quel tempo non avevamo le risorse che abbiamo oggi. 

Ad esempio quanto è facile connettersi tra loro, giusto?

Sì, poiché la comunità è molto sospettosa, tutti pensano che tu sia un agente dell'FBI o qualcosa del genere. Quindi entrare in questo tipo di industria è molto difficile. Devi dimostrare il tuo lavoro e il tuo valore. A quel tempo, quello era il punto più difficile per diventare un hacker. 

Una volta che sei nella comunità e impari a programmare, mettere le mani su exploit e tutto il resto, è come una seconda natura.

Cosa ti ha fatto pensare di fare quel grande attacco negli Stati Uniti (nel 2000, siti come Yahoo, Dell e CNN sono stati smantellati dall'allora hacker di 15 anni con un attacco DDoS)?

Questa è una buona domanda. facevo parte di Forza TNT, che era un gruppo russo de hacker d'élite. A IRC (chat di inoltro internet) era tutto basato sui canali e chiunque avesse il controllo di determinati canali avrebbe il controllo di tutto. In questo senso, attacca Protezione erano molto efficaci, poiché prendendo il controllo di alcuni di quei canali, potevi abbattere tutti gli operatori. Ora, volevo qualcosa su una scala molto più ampia. Quando stai hackerando l'uno contro l'altro gruppo hacker, è come una corsa agli armamenti. È come se due paesi si preparassero a entrare in guerra tra loro e iniziassero una competizione per vedere chi può sviluppare la tecnica di attacco migliore e più efficace. Una parte sviluppa un missile che abbatte un missile avversario, quindi l'avversario crea un missile che si divide in cinque missili più piccoli e così via.

Quindi, in base al concetto di Protezione e ampliandolo, siamo stati in grado di attaccare su scala molto più ampia. Nel primo attacco, che era contro il Yahoo! (il più grande motore di ricerca dell'epoca, che superava l'allora nuovo arrivato Google), non ero sicuro al 100% che avrebbe funzionato, perché la verità è che il Yahoo! era una rete enorme e non ero sicuro che sarei stato in grado di "abbattere un gigante".

Ma poi la motivazione è cambiata. All'inizio la domanda era:è possibile farlo?”, e poi è diventato: “chi è il ragazzo con il potere di abbattere Yahoo!?“. Questo è ciò che è stato discusso nel Chat IRC. A quel punto la motivazione è diventata quella di dire: “Ehi, sono io, sono io il responsabile di questo".

Sono letteralmente entrato in una delle chat e ho detto: “Ti dimostrerò che sono capace di farlo. Elenca per me chi consideri le reti più potenti del mondo e le rimuoverò“. Sono stati inviati diversi suggerimenti, uno di questi era il rete Cnn. Quindi ho detto:Ok, CNN? Vai sulla CNN in 30 secondi“, e poi il CNN era inattivo, inclusi altri 1.500 siti ospitati sui server dell'azienda. La motivazione era spaventare e rendere tutti gli altri hacker no IRC sottomettersi in qualche modo.

E qual è il rischio di essere riconosciuto come hacker esperto e allo stesso tempo fare una dichiarazione che potrebbe essere usata contro di te in un'eventuale condanna?

Ovviamente questo è difficile, soprattutto perché ho passato diversi anni a ricostruire la mia credibilità. Dopo essere stato riconosciuto come a degli hacker vieni stigmatizzato. Dandoti accesso a una rete, la gente pensa: "Mio Dio, cosa farà?“. La cosa buona è che all'epoca ero molto giovane (15 anni), quindi ho avuto molto tempo per riconquistare la mia credibilità.

Tenere discorsi e mostrare al pubblico che ho davvero una passione per lanciare allarmi e aiutare con problemi di sicurezza mi ha aiutato molto ad andare avanti. Quando ho avviato la mia attività di consulenza e test di sicurezza, ha contribuito a rafforzare ciò che stavo cercando di fare. Alla fine, le cose hanno funzionato. Ma è stata una grande sfida nei miei quindici anni finora per rimettere tutto a posto.

Eri preoccupato per la tua sicurezza personale o per essere scoperto?

Assolutamente! Sono sempre stata una persona naturalmente calma, ci vuole molto per farmi arrabbiare. Ma quando ho capito la gravità della situazione, non so se la paura per la vita stessa, ma sai, guardi i film degli agenti, quelle stanze con una sedia in una stanza buia e tutto il resto (ride…), quindi non ho Non so molto bene cosa aspettarmi. Ma me ne sono reso conto un po' tardi, avevo 15 anni e c'era così tanto da fare in termini di tattiche spaventose. hai visto il film Matrice?

Sì.

Sai quando lui (il signor Anderson, personaggio del film) viene catturato e interrogato? Questo era il tipo di scenario che mi è venuto in mente, essere portato in una stanza enorme ed essere interrogato in qualche modo.

L'RCMP (Royal Canadian Mounted Police) non aveva la giurisdizione per catturarti?

Lo hanno fatto, ma hanno anche lavorato a stretto contatto con l'FBI. Erano insieme, l'FBI e l'RCMP, poiché loro (l'FBI) non potevano arrestarmi senza l'RCMP.

Cosa ne pensano i tuoi genitori di tutto questo?

Vedi, fortunatamente non volevo fare del male a nessuno e non era intenzionale, nel senso che volevo fare molti danni. Ma nel complesso, sono rimasti delusi dal fatto che io sia andato in quella direzione. Allo stesso tempo, erano orgogliosi che avessi la capacità di fare qualcosa di così grande. Quindi volevano solo che canalizzassi la mia energia e mi concentrassi sulla strada giusta.

Cosa consigli ai genitori che scoprono che il loro bambino ha capacità di programmazione avanzate e potrebbe essere un hacker? Sosterresti?

I miei genitori erano di un'altra generazione, non avevano la più pallida idea di come funziona la tecnologia. Il massimo che mio padre è andato in questo senso è stato imparare a usare un fax. Al giorno d'oggi i genitori hanno un grande vantaggio che è quello di poter insegnare ai propri figli l'etica dietro l'uso di internet e della programmazione in generale. non ce l'avevo.

Ma se tuo figlio è curioso della programmazione e di cosa è capace di fare con essa, penso che dovrebbe essere incoraggiato. Allo stesso tempo, devi essere sicuro di insegnare l'etica e il senso di giusto e sbagliato con la tecnologia.

I miei genitori mi hanno insegnato, ad esempio, a guardare in entrambe le direzioni prima di attraversare la strada, ma non erano preoccupati per il computer. Non hanno detto "Non dovresti hackerare o fare questo e quello con il computer“, poiché non sapevano nemmeno che questa fosse una possibilità. Quindi, penso che sia sicuramente qualcosa da incoraggiare (capacità di programmazione e hacking), a patto che i genitori mettano dei limiti e introducano la parte etica ei parametri della responsabilità.

O WannaCry e WannaCrypt ti ha sorpreso?

Niente affatto, ne ho parlato anche a Londra prima che il caso venisse alla luce.

Cosa ne hai detto a Londra?

Non ho detto: "WannaCry farà questo e quello“, ma quando mi è stato chiesto quale sarebbe stato il prossimo grande attacco, ho detto quello ransomware verrebbe rilasciato. E ad essere onesto, ti dico di più, ransomware più grande deve ancora arrivare poiché gli ultimi sono stati eseguiti male [Quando abbiamo finito l'articolo, era appena arrivata la notizia di a nuovo attacco in Ucraina, Petya, che si sta diffondendo in tutto il mondo].

L'ultimo ransomware è stato fallito?!

Sì, al 100%. Ce n'era uno"uccidi l'interruttore"(Blocco di sicurezza, in traduzione libera, il che significa che c'è un modo per invertirlo), tutto quello che dovevi fare era registrare un dominio per ucciderli. E se ne capita uno ransomware massa che non ha uccidi l'interruttore? Non ci sarebbe nemmeno la possibilità di decifrare i file. Noi ransomware che sono stati utilizzati, è stato richiesto denaro in cambio della decrittazione dei file. Hanno visto una scappatoia quando il sfruttare per PMI (blocco dei messaggi del server) è stato scoperto e sfruttato. Ma ne vedremo uno ransomware molto più sofisticato, senza dubbio.

E che dire del ransomware bitcoin? Sono totalmente irreperibili? O c'è qualcosa che puoi usare per rintracciarli?

Non direi che sia totalmente irrintracciabile, ma è davvero immensamente difficile. Ci sono alcuni siti che stanno cercando di creare una sorta di tabella di marcia delle transazioni e dove vanno e tutto il resto. Ma alla fine passa da un portafoglio all'altro e non si conosce mai la posizione esatta di quel portafoglio. Puoi vedere il trasferimento di fondi in corso, ma dove finisce e chi sta ritirando il denaro è difficile da sapere. Forse dovresti collaborare con i siti di trasferimento e scambio. Ma il "ragazzo" potrebbe comunque lavorare con un bitcoin locale, quindi ci sarebbero altri fattori da tenere in considerazione. C'è un modo, ma è molto lungo e complicato.

Sei un hacker etico, giusto?

Sì.

Credi che ci siano abbastanza hacker etici nel mondo? Dovrebbero essercene di più? Come cambiarlo?

A quel tempo, la comunità Hacker bianchi (gli hacker che aiutano a migliorare i sistemi di sicurezza e correggere i bug) sono di gran lunga in inferiorità numerica rispetto alla comunità Black Hat (hacker con intenti illegali o criminali). Non ci sono abbastanza hacker e professionisti IT etici. In questo momento, l'industria dell'hacking è così grande che è semplicemente troppo bella per essere ignorata, è un'industria da mille miliardi di dollari all'anno, e quando calcoli la quantità di denaro guadagnata, perché dovresti cambiare? A meno che non vengano scoperti e si rendano conto che quello che stavano facendo era sbagliato e finiscono per decidere di cambiare posizione. Ma attualmente, i numeri sono schiaccianti. È molto difficile essere un professionista della sicurezza delle informazioni perché devi sempre essere un passo avanti. Devo unirmi a queste comunità (di hacker blackhat) per scoprire quale exploit zero-day (gesta che sono appena stati creati e non sono stati ancora contrastati) stanno per essere rilasciati prima ancora che arrivino. E questa è una grande sfida.

È come se mettessi sempre alla prova la tua reputazione...

Sì, e ho un enorme vantaggio in questo senso all'interno della comunità degli hacker, come me Non ho mai denunciato nessuno. Ho ricevuto diverse offerte di accordi per tornare al chat de IRC, infiltrato, e trovare e denunciare altri hacker, ma ho detto: “NoNo, puoi farmi causa, andiamo in tribunale e accetterò il verdetto“. Questo mi ha dato molto rispetto all'interno della comunità poiché molte persone scelgono semplicemente la via più semplice per uscire dal processo legale. Grazie a ciò ho più accesso a molte più cose all'interno della comunità degli hacker di quanto possa fare la maggior parte dei professionisti nel mio campo.

Per curiosità, conosci qualcuno della community di Anonymous? Ad esempio, un leader, conosci qualcuno così?

Non sono mai stato veramente coinvolto con il attivismo informatico, posso dirti che il 95% dei membri di anonimo non sono esattamente hacker. Forse hanno un desktop per svolgere un'attività o un'altra. pirateria informatica. Ma il 5% più ricco è molto più "elite" del restante 95%. La loro ideologia (il 5% più ricco) è la forza dei numeri, e questo si è dimostrato abbastanza efficace. Inoltre, hanno una sorta di "setta", un gruppo di seguaci. Ad esempio, il Forza TNT (Russian élite hacker group) era composto da 12 membri, ma quei 12 erano più di 10mila, 100mila altre persone che erano più simili a simpatizzanti e fanboy.

Vedremo sempre più di questi gruppi di hacktivism come Anonimo e lucertola nel mondo. Ma non conosco personalmente nessun leader del anonimo  perché non mi sono mai preso la briga di andare così in profondità e scoprirlo.

Voi assisti alla serie “Mr. Robot"? Quanto è fedele la serie alla realtà?

È molto preciso e fedele. Lui (Elliot, degli hacker e personaggio principale della serie) sta usando Kali Linux eseguire la maggior parte degli attacchi. Ricevo spesso questa domanda e dico sempre che sono impressionato dal modo in cui sono riusciti a catturarla in modo così realistico. Ciò che viene fatto nella serie è altamente probabile. I corrispondenti sono le persone con cui si consulta su come hackerare. È impressionante. Ho avuto contatti con lo spettacolo e vorrei che si allontanasse un po' dal percorso di esplorazione dell'abuso di droghe e della vita travagliata di Elliot, anche se questo è un po' l'introduzione dell'elemento drammatico nello spettacolo e tutto il resto.

È un modo per esplorare gli aspetti emotivi, giusto?

Sì, il personaggio ha bisogno di conflitto. Ma tornando alla tua domanda, in effetti la serie è abbastanza curata negli aspetti tecnici.

Parli un po' della sicurezza delle stampanti e del tuo ruolo nella promozione di questa nicchia di sicurezza delle informazioni?

È abbastanza allarmante e preoccupante. Se guardi quante stampanti ci sono nelle aziende e nel mondo, è davvero sorprendente che nessuno stia enfatizzando la sicurezza delle stampanti.

Sai qualcosa del mondo hacker a questo proposito?

Sì! Certamente. In realtà ci sono battute come "schizzi la stampante per divertimento" e come fare in modo che la stampante faccia un giro di 360º e si rompa letteralmente. Quindi loro [gli hacker] sono consapevoli di quella nicchia. È un grande motivo di preoccupazione in questo momento, poiché gli hack non si limitano agli scherzi. Quando parlo con le persone e cerco di dimostrarlo sicurezza della stampante è importante e rappresenta una vera minaccia, parlo con loro: “Vedi, dico per esperienza personale, la stampante può essere hackerata in questo e in quel modo, c'è un sistema operativo integrato e molte altre cose“. La gente pensa che la stampante sia solo una periferica di output, ma non è più solo questo. E ho cercato di dimostrare che questo è importante.

E non solo le stampanti, ma con l'IoT come tema caldo, se ad esempio metti Internet in apparecchiature come tostapane e cose del genere, fa un po' paura pensare a un mondo in cui tutto è hackerabile, giusto?

Sì, parliamo del Internet das Coisas. Ad esempio, gli impianti di trattamento delle acque usano il fluoruro nel loro processo. In una dose eccessiva, il fluoruro è pericoloso per l'uomo, ma nessuno pensa che qualcuno potrebbe violare le stazioni di stoccaggio dell'acqua di una città e far funzionare le pompe per scaricare quantità eccessive di fluoruro nelle tubature e avvelenare le persone, Non è questo?

D'altra parte, se si guarda all'industria medica e a ciò che sta accadendo ora, con le apparecchiature introdotte per controllare a distanza il dosaggio dei farmaci per i pazienti, quell'apparecchiatura è già stata violata. Ti piacerebbe utilizzare tali apparecchiature, che possono essere violate e ricevere a distanza una dose fatale? È un grande motivo di preoccupazione. Sempre più tutto viene digitalizzato e anche i pacemaker sono accessibili da remoto. Non molti ci pensano ma è la realtà che stiamo vivendo. Cosa succede se il ransomware attacca il tuo pacemaker? Cosa faresti? “Paghi 50k o muori“. È un mondo spaventoso quello in cui viviamo.

Mostrare alle persone il vero scenario che stiamo vivendo e la sua importanza è l'unico modo per cambiare.

Pensieri finali

l'attacco di Michael è visto oggi come uno dei momenti chiave nella sicurezza dei sistemi interconnessi. Il fatto che i più grandi siti web di quell'epoca potessero essere chiusi da un quindicenne ha creato un panico diffuso nel 15. A quel punto, Internet era già diventato parte integrante dell'economia globale. Con l'attacco, i consumatori hanno perso fiducia nelle attività online e l'economia statunitense ha subito una battuta d'arresto.

Secondo Craig Guent, un agente della CIA che all'epoca partecipò alle indagini, MafiaBoy merita credito per i significativi progressi nella sicurezza iniziati dopo questo caso. Senza di lui, forse il mondo impiegherebbe più tempo a svegliarsi.

Se sei arrivato fin qui, sono sicuro che questo argomento ti piacerà. Lascio quindi qui un invito ad un , che sarà realizzato dal Growth Hacker brasiliano Bruno Fraga, che insegna alle persone la sicurezza delle informazioni e la protezione dei dati, un progetto che nella sua ultima edizione ha raggiunto più di 1 milione di persone su Internet.

All'interno del Workshop, Bruno mostrerà, in scenari reali, i criminali (Cybercriminals) che sfruttano le vulnerabilità delle reti, delle applicazioni WEB e delle infrastrutture fisiche per ottenere l'accesso a informazioni riservate. E, naturalmente, insegnare come prevenire tali attacchi. Registrati al workshop online gratuito.

L'autore ha condotto l'intervista su invito di HP Inc.