09.11.15 Update 5-6 min

Eerste hulp bij hacken: dit is het Zwitserse zakmes van de hacker

Correspondent Surveillance & Technologie

Illustratie: Rob van Barneveld (voor De Correspondent)

Kali Linux is een zeer populair besturingssysteem dat speciaal gebouwd is voor hackers. Ik sprak twee makers ervan over deze mooie software en over de ethiek van het hacken.

Hoe makkelijk kan hacken zijn?

Je gaat naar kali.org, downloadt de nieuwste Kali Linux en opent het. Binnen een paar minuten heb je meer dan 250 programma’s tot je beschikking die je kunt gebruiken om netwerken en computers op beveiligingslekken te testen, wachtwoorden te kraken, wifi-netwerken over te nemen, achterdeuren in computers te bouwen, DDoS-aanvallen op te zetten, kwaadaardige code op een doelwit af te schieten en nog veel, veel meer.

Zo makkelijk dus.

Maar Kali Linux is ook een bijzonder programma. Het laat namelijk zien dat hacken ook een sociale activiteit is. Duizenden computerliefhebbers bouwen samen aan digitaal gereedschap dat andere hackers kunnen gebruiken, aanpassen, verbeteren en weer kunnen delen.

Bovendien laat het zien dat hacken een professionele bezigheid is. Tienduizenden onderzoekers worden via Kali Linux door bedrijven of instanties ingehuurd om kwetsbaarheden te zoeken in hun systemen, om die aan te vallen en zodoende te testen: een aanval om de verdediging beter te maken.

Wat Kali Linux doet

De grote vraag en actieve gemeenschap heeft een indrukwekkende hoeveelheid hackprogramma’s opgeleverd:

Met Metasploit kun je zoeken naar kwetsbaarheden in software. Eenmaal gevonden, kun je kwaadaardige software afschieten en zo toegang krijgen tot het systeem. Metasploit wordt gemaakt door securitybedrijf Rapid7 in samenwerking met een gemeenschap van programmeurs. De software is gratis.
Met Nmap kun je computersystemen in kaart brengen en zien waar mogelijke zwakheden zitten. Achter Nmap zit een softwareontwikkelaar die de software gratis weggeeft.
John the Ripper is een populair programma waarmee je wachtwoorden kunt kraken. Stel dat je erin slaagt om wachtwoorden uit een database te vissen, dan kun je de versleuteling van wachtwoorden met John the Ripper ongedaan maken. John the Ripper is gratis en opensourcesoftware.
Met SSLstrip kun je beveiligd internetverkeer ontsleutelen. SSLstrip is gemaakt door de befaamde hacker Moxie Marlinspike en vrij beschikbaar.
Met Aircrack-ng kun je wachtwoorden van routers kraken. Als dat je lukt, kun je iemands router overnemen en bijvoorbeeld al het internetverkeer onderscheppen.

Kali Linux bundelt al deze programma’s en houdt ze up-to-date. Het is gebouwd op Debian, een populair Linuxprogramma dat bekendstaat om zijn betrouwbaarheid, de kennis en energie van de duizenden vrijwilligers die eraan werken en de hoogwaardige kwaliteit van de software.

De makers achter Kali Linux

Dat de makers iets hebben afgeleverd waar vraag naar is, blijkt wel uit de cijfers: vanaf de officiële site wordt Kali Linux maandelijks 300.000 keer gedownload.

De tweede versie is net gelanceerd en het loopt storm. De nieuwe versie haalde 800.000 downloads in de eerste maand

Maar wie zijn die makers? Er zijn nauwelijks interviews met de ontwikkelaars te vinden. Ik was dan ook blij dat Kali Linux-chef Mati Aharoni (39) en oprichter en ontwikkelaar Jim O’Gorman (37) onlangs in Amsterdam waren. En dat ze wilden afspreken om hun ideeën over Kali Linux uit de doeken te doen.

Op hun verzoek ontmoeten we elkaar in de Chipsy King, een snackbar vlak bij het Rembrandtplein. Hun vaste eetplek als ze in Amsterdam komen: de eigenaar herkent hen en weet wat ze lekker vinden.

Het is vier uur ’s middags, buiten regent het pijpenstelen en Aharoni en O’Gorman ogen alsof ze een paar nachten flink hebben doorgehaald. De tweede versie van Kali Linux (Sana) is net gelanceerd en het loopt storm. De nieuwe versie haalde 800.000 downloads in de eerste maand.

Hoe het allemaal begon

Het succes van Kali Linux heeft Aharoni wel verbaasd, want hij en zijn team maken een besturingssysteem dat ze vooral zélf tof vinden.

Zo begon het tien jaar geleden ook. Aharoni was een pentester, iemand die bij bedrijven zwakheden in de beveiliging probeert te vinden door in te breken, en had een lastige klant. Die verbood hem eigen apparatuur mee te nemen naar het datacentrum dat hij moest testen. Aharoni verzamelde daarom maar enkele tools, zoals Nmap en Metasploit, zette die op een cd, startte daar zijn computer mee op en ging aan het werk. Die cd gaf hij vervolgens aan een paar vrienden en ging op vakantie. Toen hij terugkwam, bleek de cd vele malen gekopieerd. Blijkbaar was er behoefte aan een goed softwarepakket dat hackgereedschap bundelde.

Aharoni richtte daarom het bedrijf Offensive Security op en ontwikkelde een compleet besturingssysteem dat hij Backtrack noemde. Al snel besloot hij het systeem gratis weg te geven en was Kali Linux geboren. De inkomsten voor verdere ontwikkeling werden al snel gevonden in het geven van trainingen. Inmiddels is er een kleine economie rond Kali Linux ontstaan van bootcamps, workshops, online cursussen en boeken. Om een idee te geven van de populariteit: als je Kali Linux intypt in het zoekveld van YouTube, krijg je meer dan 200.000 hits.

Het besluit om Kali Linux vrij toegankelijk te maken, was een juiste, meent Aharoni. ‘Via de bugtracker krijgen we veel feedback over wat wel en niet goed gaat. De gebruikers kunnen ook bij ons aangeven welke tools ze graag willen. Als wij die tools ook interessant vinden, dan bouwen we die. Maar die tools moeten wel aan de beste pentesting-standaarden voldoen.’

Niet voor de luie hacker

Wat Aharoni maar wil zeggen: Kali Linux is niet voor de luie hacker bedoeld. ‘We krijgen soms de vraag of we anonimiseringssoftware willen inbouwen, zodat gebruikers zichzelf makkelijker kunnen verbergen. Dat doen we niet. Voor het eerlijke hacken, zoals het testen van systemen, heb je dat niet nodig. Dat doe je met open vizier. Als je anoniem wilt blijven, moet je maar een ander besturingssyteem zoals Tails gebruiken.’

Ziet hij zichzelf dan als een ethische hacker? Een resoluut nee. ‘Je hebt professionele hackers en niet-professionele hackers. Als je hacken voor kwaadaardige toepassingen gebruikt, ben je gewoon een crimineel.’

Dat Kali Linux ook door kwaadwillenden wordt gebruikt, doet Aharoni weinig. ‘Wij voelen daar geen verantwoordelijkheid voor. Wij werken vooral voor de mensen die de kwaadwillenden juist buiten de deur willen houden. Er zijn heel veel hackers die met Kali Linux werken, maar dat zijn niet degenen over wie je je zorgen moet maken. De professionele hackers gebruiken geen Kali Linux. Die schrijven hun eigen software.’

Kali Linux is niet geheel open

Dan is het gevaar nog niet geweken. Geregeld proberen kwaadwillende hackers en staten kwaadaardige software in het pakket te krijgen. Hoe? Daar wil hij niet over uitweiden. ‘Misschien zijn we wat paranoïde,’ zegt Aharoni, ‘maar we kunnen gewoon niet zo open zijn als andere Linuxprojecten.’

Geregeld proberen kwaadwillende hackers en staten kwaadaardige software in het pakket te krijgen

Mede daarom heeft Kali Linux momenteel zes werknemers in dienst. Daarmee onderscheidt het zich van andere Linuxvarianten: daar werken vaak grote groepen vrijwilligers aan. Maar omdat Kali Linux vaak in gevoelige settings wordt gebruikt, bijvoorbeeld om de beveiliging van een bedrijf te testen, moeten de ontwikkelaars elkaar door en door kunnen vertrouwen.

Ondanks die relatief kleine groep ontwikkelaars is er een grote diversiteit aan Kali Linux-varianten. Er zijn versies die je op een smartphone kunt draaien, of op een Raspberry Pi of een andere microcomputer die je bijvoorbeeld stiekem aan een cameranetwerk kunt hangen. Er is ook de Kali Linux ISO of Doom. Die versie kun je op een usb-stick zetten en in een computer steken die je wilt aanvallen.

De toekomst? Hacken vanaf je mobiel. Er wordt nu hard gewerkt aan het zogenoemde Nethunterplatform, waarbij op het Androidsysteem wordt verder gebouwd. Hacken doe je straks niet meer achter een pc. Dat doe je op straat, in de trein, op locatie bij een klant, bij wijze van spreken vanuit je broekzak. Inderdaad, hoe makkelijk kan hacken zijn?

Ook in deze serie:

Dit verhaal heb je gratis gelezen, maar het maken van dit verhaal kost tijd en geld. Steun ons en maak meer verhalen mogelijk voorbij de waan van de dag.

Al vanaf het begin worden we gefinancierd door onze leden en zijn we volledig advertentievrij en onafhankelijk. We maken diepgravende, verbindende en optimistische verhalen die inzicht geven in hoe de wereld werkt. Zodat je niet alleen begrijpt wat er gebeurt, maar ook waarom het gebeurt.

Juist nu in tijden van toenemende onzekerheid en wantrouwen is er grote behoefte aan verhalen die voorbij de waan van de dag gaan. Verhalen die verdieping en verbinding brengen. Verhalen niet gericht op het sensationele, maar op het fundamentele. Dankzij onze leden kunnen wij verhalen blijven maken voor zoveel mogelijk mensen. Word ook lid!