Ik ga leren hacken. Wie doet er mee?
De komende drie maanden ga ik leren hacken. Ik wil weten hoe het werkt en wat hackers drijft. In deze oproep leg ik uit waarom ik dit doe en nodig ik jullie uit om mee te doen.
Een bekentenis: ik heb een criminele handeling verricht. Enkele weken geleden heb ik een website gehackt. Met behulp van een aantal open source tools heb ik een lek gevonden in een fansite en kon ik binnendringen op de server. Eenmaal binnen kon ik de server overnemen, de website ‘defacen,’ of helemaal uit de lucht halen. Ik zou de server en site kunnen gebruiken om malware te verspreiden, om fraude te plegen, om spam te versturen.
Dat heb ik uiteraard niet gedaan. Ik heb wel de eigenaar ingelicht en advies gegeven over hoe het lek te dichten. Ik heb nog geen antwoord gekregen, dus zou het onverantwoord zijn om de naam van de site te publiceren. Het lek zit er vermoedelijk nog steeds.
Met dit misdrijf heb ik een eerste stap gezet in een lang gekoesterde wens: leren hacken. Ik ben niet van plan om op mijn veertigste een nieuwe carrière te beginnen, laat staan een criminele. Wel wil ik graag meer leren over hoe computers en het internet werken.
En hacken is de perfecte lesstof.
Allereerst is het een uitdaging. In de zoektocht naar een ingang in andermans computer kom je allerlei typen software tegen die allemaal zo hun eigenaardigheden en zwakten hebben. Je moet weten hoe je die ingangen vindt en wat je vervolgens moet doen. Daar zijn veel verschillende vaardigheden voor nodig. Je zal jezelf moeten beschermen (hacken is immers illegaal), je eigen computer schoon moeten houden (voor als een server al besmet is), met Linux moeten werken, de command line moeten gebruiken en nog veel meer.
Ten tweede heeft het maatschappelijk belang. Er wordt namelijk vreselijk veel gehackt. Een kleine greep uit het nieuws van vorige maand:
- De persoonlijke gegevens van bijna 20 miljoen Amerikaanse (oud-)ambtenaren zijn sinds maart 2014 gestolen uit databases van de US Office of Personnel Management. Vermoedelijk zit de Chinese overheid erachter.
- Enkele weken geleden publiceerde technologiemagazine Wired een bizar verhaal. Het was hackers gelukt op enkele kilometers afstand de besturing over te nemen van een rijdende Jeep. De fabrikant moest hierop tienduizenden wagens terugroepen om de beveiliging te verbeteren. Even later werd ook een Tesla gehackt.
- Ook de hackers worden soms gehackt. Begin juli kwamen alle databestanden van het Italiaanse bedrijf Hacking Team op straat te liggen: de administratie, alle e-mails, al hun softwareproducten. Terwijl Hacking Team een bedrijf is dat inlichtingen- en veiligheidsdiensten helpt om doelwitten te hacken en te bespioneren.
- Voor de klanten van Ashley Madison is de recente hack een regelrechte nachtmerrie. Ashley Madison brengt mensen bij elkaar die willen vreemdgaan. Hackers zijn ervandoor gegaan met de data en profielen van 37 miljoen gebruikers en dreigen die openbaar te maken.
Wat we zelden lezen: Wie zit er nu precies achter de hacks? Waarom doen de daders het? En, niet onbelangrijk, hoe gaat dat hacken eraan toe? Het beeld van de hacker is dat van een man in een donkere ruimte wiens hoody wordt verlicht door het scherm van zijn computer. Ook dat wil ik onderzoeken. De werkelijkheid is namelijk veel complexer, genuanceerder én spannender.
De komende drie maanden, van september tot en met december, wil ik daarom de praktijk van het hacken onderzoeken. Ik ga dat op twee manieren doen.
1. Ik ga leren hacken
Vreemd genoeg is hacken niet eens zo heel moeilijk. Met een laptop, tijd en een gezonde dosis wilskracht kun je al een heel eind komen. Als je, zoals ik, liever visueel onderricht krijgt, kun je terecht op YouTube. Daar vind je heel specifieke korte handleidingen, zoals deze:
Maar ook heel uitgebreide cursussen die je minutieus door een hacktechniek leiden, zoals deze:
Als je iets niet weet, dan is er nog altijd Google. Hoe gek je vraag ook is, er is altijd iemand die met dezelfde vraag worstelde en het antwoord uitvoerig heeft beschreven. Als het om hacken gaat (en eigenlijk om alle technische vragen) is Google je vriend.
Er zijn niet alleen goede handleidingen, ook is er gratis en goede hacksoftware beschikbaar. Tot nu toe gebruik ik vooral Kali Linux, een besturingssysteem dat voor en door hackers is gemaakt. Via Kali Linux zijn enkele tientallen softwarepakketten beschikbaar waarmee je kunt hacken. Zo is er software om wifinetwerken te breken, om computers op afstand te scannen of om wachtwoorden te kraken.
De komende drie maanden ga ik deze programma’s leren gebruiken. Ik zal daarbij stap voor stap beschrijven en laten zien wat ik doe. Hoe deze tools werken, hoe de onderliggende computertechnologie in elkaar steekt en wat je er precies mee kunt doen.
Ik leg mezelf wel een aantal beperkingen op. De eerste is dat ik alleen gebruik wil maken van gratis en openbaar beschikbare tools en handleidingen. Er zijn ook betaalde cursussen voor hacken (dan heet het network security, of penetration testing), maar ik wil mijn resultaten vooral niet laten afhangen van geld. De meeste hackers gebruiken bovendien gratis software.
Daarnaast is hacken verboden. Voor zover mogelijk zullen mijn pogingen gericht zijn tegen websites die speciaal voor het oefenen zijn gemaakt of waarvoor ik toestemming heb gekregen van de eigenaar. En als een doelwit daarbuiten valt, zal ik mij zoveel mogelijk houden aan de principes van responsible disclosure. Ik zal hier later nog uitgebreid op terugkomen, maar responsible disclosure komt erop neer dat er een zwaarwegend algemeen belang is, ik proportioneel en subsidiair handel.
Ik zou het erg leuk vinden als een aantal lezers (ongeveer tien) mee wil doen.
Update, vrijdag 14 augustus: er zijn al heel veel aanmeldingen binnengekomen en we zitten al overvol... Helaas kan er niemand meer bij.
Als je interesse hebt om je computervaardigheden in korte tijd te verbeteren en bereid bent om wat uren te maken, meld je dan via dimitri at decorrespondent punt nl. Ik zal iedere donderdagavond op de redactie vlak bij Amsterdam Amstel zitten om te oefenen. Je bent welkom om aan te schuiven.
2. Ik ga de hackerscultuur onderzoeken
Om meer zicht te krijgen op het professionele hacken, wil ik ook het fenomeen zelf onderzoeken. Wat drijft hackers? Hoe opereren ze? Welke ethische afwegingen maken ze? En hoe gaat het professionele hacken eraan toe?
Zo ben ik samen met een security-expert bezig om een botnet in kaart te brengen. Een botnet is een verzameling van computers die door middel van malware door één of meerdere mensen (botherders of botmasters) wordt bestuurd. Botnets komen veel voor; er is een kans dat jouw computer er deel van uitmaakt. Een botnet wordt bijvoorbeeld gebruikt om spam te versturen, DDoS-aanvallen te starten of malware verder te verspreiden.
Daarnaast werk ik aan een verhaal over de al eerder genoemde responsible disclosure en daarmee over de ethiek van het hacken. Er zijn veel hackers met goede intenties, de zogenoemde white hat hackers. Wie zijn deze mensen en wat drijft ze?
Tevens ga ik het Dark Web op, een deel van het internet dat alleen met anonimiseringssoftware zoals Tor en I2P te bereiken is. Daar vind je illegale markten waarop hackers (vaak black hat, dus met minder goede intenties) hun diensten aanbieden in ruil voor bitcoins.
Tot slot zal ik geregeld commentaar geven op grote en kleine hacks uit het nieuws of het verleden om zo achtergrond te geven aan en inzicht te bieden in het fenomeen.
Is deze serie dan voor jou interessant?
Ik schrijf deze serie voor lezers die weinig van computers afweten. Zoals gezegd, mijn doel is tweeledig: enerzijds wil ik inzicht bieden in een groeiend maatschappelijk fenomeen. Anderzijds, en wellicht belangrijker, ik wil laten zien hoe computers en het internet nu eigenlijk werken.
Daarom ben ik ook erg benieuwd naar jouw vragen. Wat wil je graag weten als het over hacken gaat?