För inte så länge sedan var hacking något som väldigt många sysslade med "for the lulz" som det idag kallas. Man ville helt enkelt visa att man kunde, vad man kunde och hur man kunde. Jag antar att de närmast kan liknas vid en finurlig tweet som andra plockar upp och sprider vidare. "Titta på mig, läs hur smart jag har uttryckt mig!"
Jakten på samma känsla var det som drev många hackare och crackare. De ville vara först, hitta nya sätt och visa sina vänner hur bra de var. En annan viktig del i det hela var att lära sig genom att testa sig fram. Många av dagens främsta säkerhetsexperter är personer som lärt sig system genom att på mer eller mindre illegala sätt utmana systemens funktioner och utnyttja eventuella svagheter.
Idag ser det som vi vet lite annorlunda ut. Visst sitter det fortfarande massor av killar och tjejer och crackar alla upptänkliga säkerhetsmekanismer, utan att för den skull vara ute efter att stjäla eller förstöra något. Tyvärr har antalet personer som är ute efter just det, ökat markant de senaste åren. Sårbara system och värdefull information lockar till sig ljusskygga element. Det är egentligen inget konstigt med det. Tyvärr brukar det leda till att säkerhetsbrister inte upptäcks innan det är för sent och företag eller privatpersoner drabbats.
Men vi har också sett en annan utveckling, där en annan typ av hackare och crackare funnit en arena där de kan utnyttja sina kunskaper på ett lagligt sätt men ändå bli rikligt belönade. Jag pratar om de "bug bounty"-belöningar som i princip alla stora leverantörer av internettjänster och program har infört, och det växande antal tävlingar som går ut på att hitta sårbarheter i webbläsare, mobiltelefoner och alla tänkbara program och tjänster.
Och nu pratar vi inte om att en duktig hackare belönas med en goodiebag med ett usb-minne, en Pepsi-flaska och två datorspelstidningar. Nej, om du upptäcker en allvarlig sårbarhet i exempelvis webbläsaren Chrome, kan du förvänta dig en check från Google på hundratusentals kronor. Förra årets pwn2own-tävling, som ägde rum under säkerhetskonferensen CanSecWest, hade en samlad prispott på 560 000 dollar, och den största belöningen som betalades ut var 100 000 dollar som hackaren "Nils" fick för att han lyckades ta sig ur Chromes sandlåda och ta kontroll över Windows-maskinen som webbläsaren kördes på.
Det ligger givetvis i tillverkarnas intresse att så fort som möjligt uppmärksammas på eventuella sårbarheter, innan det läcker ut på nätet, media skriker ut krigsrubriker och vanliga användare drabbas. Därför anser jag att det är högst anmärkningsvärt att två av TechWorlds stora säkerhetsavlöjanden under våren totalt ignorerats av de företag som berörts. Först ut var Asus och deras läckande routrar. De såg förvisso till att ordna till problemen, men först efter att vi hade skrivit om det. Jag hade kunnat godta att det faktiskt tog dem lite tid att fixa sin firmware, om det inte varit för det faktum att de blivit varnade för exakt den här sårbarheten för över sju månader sedan.
Och igår visade vi hur programmeraren Roman Digerman lyckades ta kontroll över min Iphone bara genom att kunna mitt telefonnummer. Han upptäckte problemet av en slump när han programmerade sin gps-tracker och kontaktade Apple för att berätta om det, men företaget visade inget som helst intresse för detta. Vilket fick Roman att överväga att lägga ut programmet på nätet. Han har också fått mängder av erbjudanden av företag som vill använda det för att skicka annonser och liknande.
När jag pratade med honom tidigare idag berättade han att nu hade minsann Apple återkopplat och vill ha in hans dokumentation om saken. Jag kan inte annat än skaka på huvudet åt hur så stora företag som Asus och Apple törs låta bli att uppmärksamma sådana här varningar innan de läcker ut på andra sätt. Jag skakar på ett huvud som förvisso redan är fullt fokuserat på att skriva klart nästa stora avslöjande om läckande säkerhet på nätet. Håll ögon och öron öppna...#asusgate var bara början.
