Misha Glenny: Neem hackers in dienst!

Dit is een erg on-TED-achtig ding om te doen, maar laten we de middag beginnen met een boodschap van een geheime sponsor.

Anonymous: Beste Fox News, het is ons ter ongelukkiger ore gekomen dat zowel de naam als het wezen van Anonymous verwoest is. We zijn iedereen. We zijn niemand. We zijn anoniem. We zijn massa. We vergeven niet. We vergeten niet. We zijn het gezicht van chaos.

Misha Glenny: Anonymous, dames en heren -- een geraffineerde groep politiek gemotiveerde hackers die in 2011 opdook. Ze zijn behoorlijk eng. Je weet nooit wanneer ze weer toeslaan, of wat de gevolgen zullen zijn. Maar -- interessant -- ze hebben gevoel voor humor. Deze jongens hackten het Twitter-account van Fox News om te berichten over de moord op President Obama. Je kunt je wellicht iets voorstellen van de paniek die dat gaf in de redactieruimte van Fox. "Wat doen we nu? Een zwarte armband om... of laten we de champagne knallen?" (Gelach) En wie zou de ironie kunnen ontgaan, dat een onderdeel van Rupert Murdoch's News Corp. nu eens slachtoffer van hacking is, voor de verandering.

(Gelach)

(Applaus)

Soms zet je het nieuws aan en je denkt: "Is er nog iemand níet gehackt?" Sony Playstation Network -- gedaan... de Turkse regering -- vinkje... de Britse Serious Organized Crime Agency -- makkie... de CIA -- fluitje van een cent. Een vriend van me uit de beveiligingsindustrie vertelde me onlangs dat er twee soorten bedrijven zijn in de wereld: zij die weten dat ze gehackt zijn, en zij die dat niet weten. Ik bedoel: drie bedrijven die internetbeveiliging leveren voor de FBI zijn gehackt. Is niets meer heilig, in hemelsnaam?

Hoe dan ook, die mysterieuze groep Anonymous -- en dit zouden ze zelf bevestigen -- leveren een dienst door aan te tonen hoe slecht bedrijven hun data beschermen. Maar er is ook een heel serieus aspect aan Anonymous -- ze worden ideologisch gedreven. Ze claimen in het geweer te komen tegen een lafhartige samenzwering. Ze zeggen dat regeringen proberen het internet te overheersen en controleren, en dat zij, Anonymous, de onvervalste stem van verzet zijn -- tegen dictators in het Midden-Oosten, tegen globale mediabedrijven, of tegen veiligheidsdiensten, of wie dan ook. Hun beleid is niet geheel onattractief. Oké, ze zijn nog wat onontwikkeld. Er hangt een sterke geur van halfbakken anarchisme om hen heen. Maar één ding is waar: we staan aan het begin van een geweldige worsteling om de controle van het internet. Het web verbindt alles, en zeer spoedig zal het de meeste menselijke activiteiten bemiddelen. Het internet heeft een nieuwe en ingewikkelde omgeving geschapen voor een aloud dilemma dat de behoefte aan veiligheid plaatst tegenover de wens voor vrijheid.

Dat is een erg gecompliceerde worsteling. Helaas, voor stervelingen als jij en ik, kunnen we het waarschijnlijk niet erg goed begrijpen. Niettemin, in een onverwachte aanval van hubris enkele jaren geleden, besloot ik dat ik dat zou gaan proberen, en ik begrijp het min of meer. Dit waren de verschillende dingen waarnaar ik keek toen ik trachtte het te begrijpen. Maar om dit proberen uit te leggen, zou ik nog eens 18 minuten nodig hebben, dus je zult me voor deze gelegenheid moeten vertrouwen als ik je verzeker dat al deze thema's betrokken zijn bij internetveiligheid en controle over internet, linksom of rechtsom, ...maar in een configuratie die zelfs Stephen Hawking lastig zou vinden om te doorgronden. Dus hier zijn we dan... en zoals je kunt zien, in het midden staat onze vriend, de hacker. De hacker is staat volledig centraal in de vele politieke, sociale en economische thema's betreffende het net. Dus, dacht ik bij mezelf, "Dat zijn de jongens waarmee ik wil praten". En wat denk je? Niemand anders praat met de hackers. Ze zijn compleet anoniem, als het ware.

Dus ondanks het feit dat we miljarden, honderden miljarden dollars beginnen te stoppen in internetveiligheid -- voor de meest ongewone technische oplossingen -- wil niemand praten met deze jongens,de hackers, die alles doen. Nee, we geven de voorkeur aan flitsende technologische oplossingen, die enorme hoeveelheden geld kosten. Niets wordt uitgegeven aan de hackers. Nou ja, ik zeg niets, maar er is een pietluttig kleine onderzoekseenheid in Turijn, Italië, genaamd het Hackers Profiling Project. Die doen fantastisch onderzoek naar de karakteristieken, de vermogens en de sociale situatie van hackers. Maar het feit dat ze een VN-operatie zijn is wellicht waarom overheden en bedrijven niet zo geïnteresseerd zijn in ze, en omdat het een VN-operatie is, zijn ze uiteraard ondergefinancierd. Maar ik denk dat ze heel belangrijk werk doen. Want terwijl we een overschot aan technologie hebben in de internetbeveiligings-industrie; hebben we een duidelijk gebrek aan -- noem me ouderwets -- menselijke intelligentie.

Nu, tot zover heb ik de hackers Anonymous genoemd die een politiek gemotiveerde groep zijn. Uiteraard behandelt justitie hen als alledaagse doorsnee-criminelen. Maar interessanterwijze gebruikt Anonymous de door haar gehackte informatie niet voor geldelijk gewin. Maar hoe zit het met echte cybercriminelen? Nou, echte georganiseerde misdaad op het internet gaat ongeveer tien jaar terug toen een groep getalenteerde Oekraïense hackers een website ontwikkelden, die leidde tot de industrialisatie van cybercriminaliteit. Welkom in de nu vergeten wereld van Carderplanet. Dit is hoe ze zich tien jaar geleden aanprezen op internet. Carderplanet was erg interessant. Cybercriminelen gingen erheen om gestolen creditcard-details te kopen en verkopen, informatie uit te wisselen over nieuwe malware die was uitgekomen. Bedenk dat we rond deze tijd voor het eerst de zogenaamde kant en klare malware zien. Dit spul is klaar voor gebruik, door mensen die niet eens zo heel geraffineerde hackers zijn.

Dus CarderPlanet werd een soort supermarkt voor cybercriminelen. Zijn makers waren ongelofelijk slim en ondernemend, want zij stonden voor een enorme uitdaging als cybercriminelen. Die uitdaging is: Hoe doe je zaken, hoe vertrouw je iemand op het internet die zaken met je wil doen, als je weet dat het een crimineel is? (Gelach) Hij is per definitie onbetrouwbaar, en zal proberen je een loer te draaien. Dus de familie, zoals de harde kern van CarderPlanet bekend stond, kwam met een briljant idee genaamd het escrow-systeem. Ze stelden een tussenpersoon aan die bemiddelde tussen verkoper en koper. De verkoper had bijvoorbeeld gestolen creditcard-details en de koper wilde die bemachtigen. De koper zond de administratieve tussenpersoon digitaal wat dollars, en de verkoper verkocht dan de gestolen creditcard-details. De tussenpersoon verifieerde dan of de gestolen creditcard werkte. Als dat zo was, stuurde hij het geld door naar de verkoper en de gestolen creditcard-details naar de koper. Dit was wat cybercriminaliteit op het web radicaal veranderde. Nadien barstte het uit zijn voegen. We hadden een champagne-decennium voor de mensen die we kennen als Carders.

Ik sprak met één van deze Carders die ik RedBrigade zal noemen -- hoewel dat niet eens zijn echte pseudoniem was -- maar ik heb beloofd dat ik zijn identiteit zou beschermen. Hij beschreef hoe hij in 2003 en 2004 aan de boemel ging in New York, en $10.000 opnam uit een geldautomaat hier, en $30.000 uit een geldautomaat daar, met behulp van gekloonde creditcards. Hij verdiende zo per week gemiddeld $150.000 belastingvrij natuurlijk. Hij zei dat hij op een gegeven moment zoveel geld opgestapeld had liggen in zijn appartement in de Upper East Side, dat hij niet meer wist wat hij ermee aan moest, en in een depressie afgleed. Maar dat is weer een ander verhaal, waar ik nu niet op in zal gaan. Het interessante aan RedBrigade is dat hij geen geavanceerde hacker was. Hij begreep de technologie min of meer, en realiseerde zich dat veiligheid erg belangrijk was voor een Carder, maar hij zat geen dagen en nachten over een computer gebogen, pizza etend en cola drinkend. Hij was in de stad de bloemetjes buiten aan het zetten.

Dit is omdat hackers slechts één onderdeel zijn van een cybercriminele organisatie. Vaak zijn ze het meest kwetsbare element. Ik wil je dit uitleggen door jullie zes individuen te beschrijven die ik ontmoette toen ik dit onderzoek deed. Dimitry Golubov, bijgenaamd SCRIPT -- geboren in Odessa, Oekraïne in 1982. Hij ontwikkelde zijn sociale en morele kompas aan de Zwarte Zee-haven gedurende de jaren '90. Het was een zwemmen-of-verzuipen-milieu, waar verwikkeling in criminele of corrupte activiteiten volledig noodzakelijk was als je wilde overleven. Als doorgewinterde computergebruiker, verplaatste hij het misdaadkapitalisme van zijn thuisstad naar het internet. Hij deed dit met veel succes. Je moet echter begrijpen dat vanaf zijn negende verjaardag, de enige omgeving die hij kende, criminele kringen waren. Hij kende geen andere manier om geld te verdienen.

Dan hebben we Renukanth Subramaniam, bijgenaamd JiLsi -- oprichter van DarkMarket, geboren in Colombo, Sri Lanka. Op zijn achtste levensjaar, ontvluchtten zijn ouders met hem de Sri Lankaanse hoofdstad omdat Singalese bendes de stad afstruinden, op zoek naar Tamils als Renu, om ze te vermoorden. Op zijn elfde werd hij verhoord door het Sri Lankaanse leger, beschuldigd van terrorisme, en zijn ouders stuurden hem in zijn eentje naar Engeland om asiel aan te vragen. Op zijn 13de, slechts een beetje Engels sprekend en gepest op school, ontsnapte hij in een wereld van computers waar hij technisch zeer vaardig bleek. Hij werd echter al snel verleid door mensen op het internet. Hij is veroordeeld voor hypotheek- en creditcard-fraude, en hij zal vrijkomen uit de Wormwood Scrubs gevangenis in London in 2012.

Matrix001, was een tussenpersoon bij DarkMarket. Geboren in Zuid-Duitsland in een stabiel en gerespecteerd middenklasse-gezin, maar zijn obsessie met gamen als tiener, leidde hem naar het hacken. Vrij snel beheerde hij grote servers over de hele wereld waar hij zijn games opsloeg die hij gekraakt had en illegaal verkocht. Hij gleed langzaam verder af in de criminaliteit. Toen hij dat eindelijk onder ogen zag en de implicaties begreep, zat hij er al te diep in.

Max Vision, bijgenaamd ICEMAN -- het brein achter CardersMarket. Geboren in Meridian, Idaho. Max Vision was eind jaren '90 één van de beste penetratietesters. Hij werkte vanuit Santa Clara, Californië, voor private bedrijven en vrijwillig voor de FBI. Eind jaren '90 ontdekte hij een kwetsbaarheid in alle Amerikaanse overheidsnetwerken, die hij vervolgens repareerde -- dit betrof o.a. nucleaire onderzoeksfaciliteiten -- en bespaarde zo de Amerikaane overheid een enorme beveiligings-blamage. Maar omdat hij tevens een onverbeterlijke hacker was, liet hij een minuscuul digitaal wormgat achter waar hij alleen doorheen kon. Dit werd echter gespot door een onderzoeker en hij werd veroordeeld. In zijn open gevangenis raakte hij onder de invloed van financiële fraudeurs, en die financiële fraudeurs overreedden hem voor hen te werken na zijn vrijlating. Deze man met een galactisch brein zit nu een 13-jarige gevangenisstraf uit in Californië.

Adewale Taiwo, bijgenaamd FreddyBB -- expert bankrekeningen-kraker uit Abuja in Nigeria. Hij begon zijn prozaïsch genaamde nieuwsgroep, bankfrauds@yahoo.co.uk voordat hij in Engeland aankwam in 2005 voor een master in chemische technologie aan de universiteit van Manchester. Hij maakte indruk in de private sector waar hij chemische applicaties ontwikkelde voor de olie-industrie terwijl hij tevens een wereldwijde bank- en creditcard-operatie runde, waarin miljoenen omgingen tot zijn arrestatie in 2008.

Als laatste Cagatay Evyapan, bijgenaamd Cha0 -- één van de opmerkelijke hackers ooit, uit Ankara, Turkije. Hij combineerde de vaardigheden van een "geek" met de soepele sociale vaardigheden van de meestercrimineel. Eén van de slimste mensen die ik ooit ontmoet heb. Hij had ook het meest effectieve virtuele privé-netwerk-beveiligingsarrangement dat de politie ooit tegenkwam onder globale cybercriminelen.

Het belangrijkste aan al deze mensen is dat ze bepaalde eigenschappen delen, ondanks het feit dat ze uit zeer verschillende milieus komen. Het zijn allemaal mensen die hun hacking-vaardigheden leerden in de vroege tot midden tienerjaren. Het zijn allemaal mensen met zeer grote aanleg voor wiskunde en beta-vakken. Bedenk dat, toen ze die hacking-vaardigheden ontwikkelden, hun morele kompas nog niet ontwikkeld was. De meesten van hen, SCRIPT en Cha0 uitgezonderd, gaven geen blijk van echte sociale vaardigheden on de buitenwereld -- enkel op het web.

Daarbij komt het grote aantal hackers als deze die eigenschappen hebben, die overeenstemmen met het syndroom van Asperger. Ik heb dit besproken met professor Simon Baron-Cohen, hoogleraar ontwikkelingspsychopathologie in Cambridge. Hij heeft baanbrekend werk verricht op het gebied van autisme en bevestigde, ook voor de deskundigen hier, dat Gary McKinnon -- die vervolgd wordt door de Verenigde Staten voor het hacken van het Pentagon -- aan het syndroom van Asperger lijdt, en een secundaire aandoening van depressie. Baron-Cohen legde uit dat bepaalde onvermogens zich in de hacking- en computerwereld kunnen manifesteren als enorme vaardigheden, en dat we mensen die zulke onvermogens en vaardigheden hebben, niet moeten opsluiten omdat ze sociaal hun weg zijn kwijtgeraakt of beetgenomen zijn.

Ik denk dat we hier kansen missen, want mensen als Max Vision horen niet in de gevangenis thuis. Ik zal eerlijk zijn hierover: In China, in Rusland en in vele andere landen die cyber-offensieve capaciteiten ontwikkelen, is dat precies wat ze aan het doen zijn. Ze rekruteren hackers, zowel voordat, als nadat ze betrokken raken in criminele en industriële spionage-activiteiten -- en mobiliseren ze in dienst van de staat. We moeten toenadering zoeken en manieren vinden om sturing te geven aan deze jonge mensen, want ze zijn een buitengewone soort. Als we, zoals nu, uitsluitend steunen op het justitiële systeem en de afschrikkende werking van straffen, kweken we een ontembaar monster.

Dank je wel voor het luisteren.

(Applaus)

Chris Anderson: Dus jouw idee om te verspreiden is: neem hackers in dienst. Hoe komt iemand over de angst heen dat de hacker die ze in dienst nemen misschien dat minuscule wormgat in stand houdt?

MG: Ik denk tot op zekere hoogte, dat je moet begrijpen dat dit soort dingen hackers ingebakken zit. Ze zijn meedogenloos en obsessief in wat ze doen. Maar alle mensen die ik gesproken heb, die in de fout zijn gegaan, zeiden: Alsjeblieft, geef ons een kans op werk in de legitieme industrie. We wisten gewoon nooit hoe we met onze activiteiten daar konden komen. We willen met jullie werken".

Chris Anderson: Oké, dat klinkt plausibel. Hartelijk dank, Misha.

(Applaus)