Jag brukade vara en hacker, även om det visserligen var så länge sedan att det var nästan en annan livstid. Jag var inte som dagens manusbarn, som laddar ner prefabricerade manus från webben och ser vilken data de kan stjäla; Jag var en riktig gammaldags hackare som utforskade nätverk med ett litet mått av teknisk förståelse. Vi kom aldrig särskilt långt för 20 år sedan, och det gick långsamt eftersom vi hade modem i storleken som en skokartong och akustiska kopplingar som piper in i telefonmunstycket vid 300 baud. Tanken var att utforska och lära, att djärvt gå dit ingen cyberpunk-med-en-rosa-mohikaner hade varit tidigare, och det jag gjorde var varken illvilligt eller på den tiden olagligt. Datamissbrukslagen, som inkluderar obehörig åtkomst bland sina brott, blev inte lag förrän i augusti 1990, då jag hade slutat hacka och börjat skriva. Teknikjournalistiken släckte min kunskapstörst, eftersom jag fick betalt för att skriva om saker jag redan visste, och även om nya och spännande utvecklingar.
Så varför gör jag denna bekännelse? För det är allt tydligare att Star Trek-hackarnas dagar, som djärvt gick, är över. Det finns inga hackare kvar utan illvilliga avsikter som verkligen, djupt förstår nätverken och systemen de utforskar. Alla som har tillräckligt med kunskap för att tillhöra det gänget är, mycket riktigt, eftertraktade och bedriver mest sitt yrke som nätverksadministratör, IT-konsult och säkerhetsspecialist. Det närmaste du hittar en gammaldags hacker nuförtiden är den ”vita hatten”, som bara är ett sexigare namn för en säkerhetsspecialist. Men föreställ dig inte det, eftersom mästerhackern är utdöd är vi alla säkrare och kan sova bättre på natten. Jag kvalificerade det jag sa ovan som ”utan uppsåt” och ”för det mesta utöva sin handel”. Den hårda sanningen är att hackare är uppdelade i två grupper nu, och båda är verkligen skrämmande för alla med kunskap om IT-säkerhet.
Den första delen är hackerhjärnor som har illvilliga avsikter, som nu arbetar för organiserade kriminella gäng, kodar den typ av bedrifter som sällan når rubrikerna eftersom de i stort sett går obemärkta förbi. De vi ser ute i naturen kallas kollektivt för crimeware, som täcker hela skalan av keyloggers, ”man-in-the-middle”-attacker och botnät. Men kanske ännu mer oroande är återkomsten av manuskiddies, wannabes utan grundläggande färdigheter att koda sina egna bedrifter. De tar befintlig skadlig programvara och gör en liten förändring av dess nyttolast, och hävdar den som sin egen tillsammans med beröm. Utan dessa manusbarn skulle ingen virusfamilj ha en livslängd mycket längre än den första distributionen av sin signatur av AV-leverantörer. Och det skulle inte finnas något av de där pay-as-you-go-hacking-kit som har blivit allt vanligare på nätet, som låter vem som helst med pengar ladda ner ett konstruktionsset för brottsartiklar. Senaste data från Websense (www.websense.com) föreslår att så många som 15 % av alla kriminella nätfiske- och stöldsajter byggs med sådana färdiga kit – en ökning med 10 % jämfört med förra året.
Det som verkligen oroar mig är att samma ryska darknet-sajter som säljer dessa kit också säljer osäkerhet som en tjänst. Betala skurkarna deras pågående kurs och de kommer att infektera din målwebbplats, skörda dess data och flytta över den till dig i vilket format du än begär. Websense spårade en onlineundersökning som drivs av distributörerna av WebAttacker-kit, som till och med frågade potentiella kunder hur mycket de skulle vara beredda att betala. De flesta svar ligger i området $100-300, för något som kommer med korrekta steg-för-steg-instruktioner för kodinsättning. Betala lite mer och du kan få något som Rock Phish-kit, som levereras med webbplatsmallar för blue-chip-mål som en del av affären. Det hela blir riktigt häpnadsväckande när du inser att – enligt Websense igen – 40 % av dessa skadliga webbplatser finns på komprometterade servrar som inte har korrigerats ordentligt mot sårbarheter på serversidan.
