Hoe makkelijk kan hacken zijn?

Je gaat naar downloadt de nieuwste Kali Linux en opent het. Binnen een paar minuten heb je meer dan tot je beschikking die je kunt gebruiken om netwerken en computers op beveiligingslekken te testen, wachtwoorden te kraken, wifi-netwerken over te nemen, achterdeuren in computers te bouwen, op te zetten, kwaadaardige code op een doelwit af te schieten en nog veel, veel meer.

Vimeo
Een korte introductie in Kali Linux.

Zo makkelijk dus.

Maar Kali Linux is ook een bijzonder programma. Het laat namelijk zien dat hacken ook een sociale activiteit is. Duizenden computerliefhebbers bouwen samen aan digitaal gereedschap dat andere hackers kunnen gebruiken, aanpassen, verbeteren en weer kunnen delen.

Bovendien laat het zien dat hacken een professionele bezigheid is. Tienduizenden onderzoekers worden via Kali Linux door bedrijven of instanties ingehuurd om kwetsbaarheden te zoeken in hun systemen, om die aan te vallen en zodoende te testen: een aanval om de verdediging beter te maken.

Wat Kali Linux doet

De grote vraag en actieve gemeenschap heeft een indrukwekkende hoeveelheid hackprogramma’s opgeleverd:

Kali Linux bundelt al deze programma’s en houdt ze up-to-date. Het is gebouwd op Debian, een populair dat bekendstaat om zijn betrouwbaarheid, de kennis en energie van de duizenden vrijwilligers die eraan werken en de hoogwaardige kwaliteit van de software.

De makers achter Kali Linux

Dat de makers iets hebben afgeleverd waar vraag naar is, blijkt wel uit de cijfers: vanaf de officiële site wordt Kali Linux maandelijks 300.000 keer

De tweede versie is net gelanceerd en het loopt storm. De nieuwe versie haalde 800.000 downloads in de eerste maand

Maar wie zijn die makers? Er zijn nauwelijks interviews met de ontwikkelaars te vinden. Ik was dan ook blij dat Kali Linux-chef en oprichter en ontwikkelaar onlangs in Amsterdam waren. En dat ze wilden afspreken om hun ideeën over Kali Linux uit de doeken te doen.

Op hun verzoek ontmoeten we elkaar in de Chipsy King, een snackbar vlak bij het Rembrandtplein. Hun vaste eetplek als ze in Amsterdam komen: de eigenaar herkent hen en weet wat ze lekker vinden.

Het is vier uur ’s middags, buiten regent het pijpenstelen en Aharoni en O’Gorman ogen alsof ze een paar nachten flink hebben doorgehaald. De tweede versie van Kali Linux (Sana) is net gelanceerd en het loopt storm. De nieuwe versie haalde 800.000 downloads in de eerste maand.

Hoe het allemaal begon

Het succes van Kali Linux heeft Aharoni wel verbaasd, want hij en zijn team maken een besturingssysteem dat ze vooral zélf tof vinden.

Zo begon het tien jaar geleden ook. Aharoni was een pentester, iemand die bij bedrijven zwakheden in de beveiliging probeert te vinden door in te breken, en had een lastige klant. Die verbood hem eigen apparatuur mee te nemen naar het datacentrum dat hij moest testen. Aharoni verzamelde daarom maar enkele tools, zoals en zette die op een cd, startte daar zijn computer mee op en ging aan het werk. Die cd gaf hij vervolgens aan een paar vrienden en ging op vakantie. Toen hij terugkwam, bleek de cd vele malen gekopieerd. Blijkbaar was er behoefte aan een goed softwarepakket dat hackgereedschap bundelde.

Aharoni richtte daarom het bedrijf Offensive Security op en ontwikkelde een compleet besturingssysteem dat hij Backtrack noemde. Al snel besloot hij het systeem gratis De inkomsten voor verdere ontwikkeling werden al snel gevonden in het geven van trainingen. Inmiddels is er een kleine economie rond Kali Linux ontstaan van bootcamps, workshops, online cursussen en boeken. Om een idee te geven van de populariteit: als je Kali Linux intypt in het zoekveld van YouTube, krijg je meer dan 200.000 hits.

Het besluit om Kali Linux vrij toegankelijk te maken, was een juiste, meent Aharoni. ‘Via de krijgen we veel feedback over wat wel en niet goed gaat. De gebruikers kunnen ook bij ons aangeven welke tools ze graag willen. Als wij die tools ook interessant vinden, dan bouwen we die. Maar die tools moeten wel aan de beste pentesting-standaarden voldoen.’

Niet voor de luie hacker

Wat Aharoni maar wil zeggen: Kali Linux is niet voor de luie hacker bedoeld. ‘We krijgen soms de vraag of we anonimiseringssoftware willen inbouwen, zodat gebruikers zichzelf makkelijker kunnen verbergen. Dat doen we niet. Voor het eerlijke hacken, zoals het testen van systemen, heb je dat niet nodig. Dat doe je met open vizier. Als je anoniem wilt blijven, moet je maar een ander besturingssyteem zoals gebruiken.’

Ziet hij zichzelf dan als een ethische hacker? Een resoluut nee. ‘Je hebt professionele hackers en niet-professionele hackers. Als je hacken voor kwaadaardige toepassingen gebruikt, ben je gewoon een crimineel.’

Dat Kali Linux ook door kwaadwillenden wordt gebruikt, doet Aharoni weinig. ‘Wij voelen daar geen verantwoordelijkheid voor. Wij werken vooral voor de mensen die de kwaadwillenden juist buiten de deur willen houden. Er zijn heel veel hackers die met Kali Linux werken, maar dat zijn niet degenen over wie je je zorgen moet maken. De professionele hackers gebruiken geen Kali Linux. Die schrijven hun eigen software.’

Kali Linux is niet geheel open

Dan is het gevaar nog niet geweken. Geregeld proberen kwaadwillende hackers en staten kwaadaardige software in het pakket te krijgen. Hoe? Daar wil hij niet over uitweiden. ‘Misschien zijn we wat paranoïde,’ zegt Aharoni, ‘maar we kunnen gewoon niet zo open zijn als andere Linuxprojecten.’

Geregeld proberen kwaadwillende hackers en staten kwaadaardige software in het pakket te krijgen

Mede daarom heeft Kali Linux momenteel zes werknemers in dienst. Daarmee onderscheidt het zich van andere Linuxvarianten: daar werken vaak grote groepen Maar omdat Kali Linux vaak in gevoelige settings wordt gebruikt, bijvoorbeeld om de beveiliging van een bedrijf te testen, moeten de ontwikkelaars elkaar door en door kunnen vertrouwen.

Illustraties: Rob van Barneveld

Ondanks die relatief kleine groep ontwikkelaars is er een grote diversiteit aan Kali Linux-varianten. Er zijn versies die je op een smartphone kunt draaien, of op een Raspberry Pi of een andere microcomputer die je bijvoorbeeld stiekem aan een cameranetwerk kunt hangen. Er is ook de Kali Linux ISO of Doom. Die versie kun je op een usb-stick zetten en in een computer steken die je wilt

De toekomst? Hacken vanaf je mobiel. Er wordt nu hard gewerkt aan het zogenoemde Nethunterplatform, waarbij op het wordt verder gebouwd. Hacken doe je straks niet meer achter een pc. Dat doe je op straat, in de trein, op locatie bij een klant, bij wijze van spreken vanuit je broekzak. Inderdaad, hoe makkelijk kan hacken zijn?

Zelf met Kali Linux aan de slag? Hier vind je een aantal tips over hoe je kunt starten met Kali Linux. Lees verder

Ook in deze serie:

Eerste hulp bij hacken: deze oefensites kun je legaal kraken Wil je Kali Linux uitproberen, maar heb je geen zin om de wet te overtreden? Ga dan naar deze oefensites en leef je uit. Lees verder Eerste hulp bij hacken: doe het op de command line Met twintig Correspondentlezers leer ik hacken. Jij kunt ook meedoen. In dit eerste stuk: vier redenen waarom ook jij een stuk gereedschap, dat in de krochten van je computer schuilt, moet afstoffen en gebruiken. Lees verder Eerste hulp bij hacken: zo kom je iemand anders’ computer binnen Als je andermans computer wilt binnenkomen, moet je een ingang zien te vinden. In de tweede les over hacken gaan we informatie vergaren, poorten scannen en fingerprints van besturingssystemen verzamelen. Lees verder Eerste hulp bij hacken: zo steel je wachtwoorden en creditcardgegevens. Een van de meestgebruikte manieren om gevoelige informatie te stelen, is het injecteren van kwaadaardige code in websites. Hoe werkt dit? Lees verder