Eerste hulp bij hacken: de lessen die ik heb geleerd

Dimitri Tokmetzis
Correspondent Surveillance & Technologie
Compilatie uit strips van diverse afleveringen van 'Eerste hulp bij hacken'. Beeld: Rob van Barneveld (voor De Correspondent)

In augustus kondigde ik aan te willen leren hacken. Na vier maanden maak ik de balans op. Wat heb ik geleerd? En waarom moet ook jij leren hacken?

Het begon met een ik wil leren hacken, wie doet er met mij mee? Ik liep al lang met deze wens rond. Enerzijds wilde ik leren begrijpen hoe hacken nu precies werkt. We lezen er veel over, maar hoe wordt een aanval opgezet? Is het moeilijk? Of is hacken iets dat je zelf makkelijk kunt leren? Daarnaast vermoedde ik dat het leren hacken erg zou helpen om meer over computers te leren.

Bijna honderd lezers meldden zich aan om mee te doen. Uiteindelijk zijn we met een groep van twintig iedere donderdagavond bijeengekomen op onze redactie. Iedere week bogen we ons over een bepaalde methode en probeerden we nieuwe tools te gebruiken en websites te kraken.

Ik heb er veel van geleerd en kan nu zes lessen met jullie delen.

1. Hacken is makkelijk

Het duurt niet lang voordat je genoeg hebt geleerd om een matig beveiligde website of server te hacken. Je hoeft daar niet voor te kunnen programmeren, en je hoeft ook geen gedetailleerde kennis van internetprotocollen of netwerkarchitectuur te hebben.

Uit de strip van Rob van Barneveld

Er zijn op YouTube tienduizenden filmpjes te vinden die je stap voor stap uitleggen wat je moet doen om bijvoorbeeld wachtwoorden te kraken, netwerken binnen te dringen of zelfs webcams van anderen over te nemen.

Er zijn honderden gratis programma’s beschikbaar waarmee je met een paar vrij eenvoudige handelingen aanvallen kunt opzetten en uitvoeren. Er is zelfs een besturingssysteem, dat al die programma’s handig voor je bundelt.

Er zijn honderden betaalde boeken en online cursussen te vinden onder de noemer ‘ethisch hacken’ of waarmee je door middel van aanvallen uitvoeren jezelf leert te verdedigen. Er zijn En er zijn puzzels die je op je eigen computer kunt installeren, zodat je de kunst van het hacken kunt leren.

2. Hacken is moeilijk

Bovengenoemde hulpmiddelen helpen je om de ‘makkelijke’ hacks te doen, om het laaghangende fruit te plukken. (Van dat fruit is er trouwens veel: het is verbazingwekkend hoe slecht veel websites en servers zijn beveiligd.)

Uit de strip van Rob van Barneveld

Maar het echte werk, waarbij je een goed beveiligde website of server probeert binnen te dringen, is moeilijk. Heel moeilijk. Hacken op dat niveau vereist een diepe kennis van computers en software die je niet even in een leert. Daar is jaren oefening voor nodig.

Neem alleen al Die veelvoorkomende hack is vrij makkelijk uit te voeren. Maar als een website goed beveiligd is, dan moet je alle registers opentrekken en heb je een grondige kennis van de SQL-taal nodig. En je moet precies weten hoe dit type databases werkt, hoe ze zijn opgebouwd en hoe je piepkleine veiligheidslekken kunt uitbuiten.

Die complexiteit maakt het frustrerend. Ik heb het idee dat ik aan een marathon ben begonnen, net de eerste straat uit ben gerend en nu al het zuur in mijn spieren voel. Terwijl ik nog ruim 41 kilometer moet.

3. Hacken vereist geduld

Uit de strip van Rob van Barneveld

Vaak heb je veel tijd nodig om zo’n moeilijke hack uit te voeren. Op tv zien hacks er altijd simpel uit. Even rammen op een toetsenbord en een computerstem vertelt de boosdoener (of de held) dat hij (of zij) binnen is.

De werkelijkheid is veel banaler. Je moet een website, server, netwerk of systeem eerst verkennen. Daarna ga je op zoek naar veiligheidslekken en vervolgens bekijk je hoe je die lekken kunt ‘exploiteren’, gebruiken. Iedere computer is weer anders ingesteld. In de praktijk betekent dat vooral heel veel handleidingen doorpluizen, specialistische blogs lezen en waar nodig nieuwe vaardigheden leren. Ondertussen moet je je best doen om niet opgemerkt te worden, wat soms kan betekenen dat je heel langzaam te werk moet gaan.

4. Hacken is een sociale bezigheid

Uit de strip van Rob van Barneveld

Op tv zien we vaak de eenzame hacker. Meestal een jonge man met een capuchon, die in het halfduister achter zijn computer zit.

Goed, je zit misschien in je eentje achter een computer, maar ondertussen ben je op allerlei manieren afhankelijk van anderen. Het is mij opgevallen dat hacken bij uitstek een sociale bezigheid is. Je bouwt vaak voort op het werk dat anderen hebben gedaan en dat zij hebben gedeeld op Twitter, blogs, of in veiligheidsrapporten. Ondertussen zijn er talloze fora waar kennis en code worden uitgewisseld of verkocht.

5. Hacken is creatief

Uit de strip van Rob van Barneveld

In de oorspronkelijke betekenis is een ‘hack’ een creatieve oplossing voor een technisch Een techneut loopt tegen een obstakel op en verzint een list waardoor hij toch verder kan, zoals nieuwe code of een hardware-oplossing. Die problemen kom je tijdens het hacken continu tegen. Je loopt ergens tegenaan, komt niet verder en moet een list verzinnen om weer een stapje te kunnen zetten.

In de gesprekken die ik met verschillende hackers heb gevoerd, viel me telkens op hoe gepassioneerd ze zijn. Ze spreken over frustrerende hacks die maar niet willen lukken, totdat een briljante ingeving ze verder helpt. En ze spreken over het combineren van allerlei kennis, vaardigheden en techniek om toch een systeem binnen te dringen. Over de gelukzalige staat die ze soms bereiken, na urenlange hacksessies - een staat waarin ze tijd en plaats vergeten. Deze hackers voelen zich soms meer kunstenaars dan techneuten.

6. Hacken is leerzaam

Uit de strip van Rob van Barneveld

Ik wilde computers beter leren begrijpen. Hoe ze werken, wat ze wel kunnen en wat niet. En ik heb het idee dat dat heel aardig is gelukt. In de kleine vier maanden dat ik heb proberen te hacken, heb ik meer geleerd dan in de vier jaar ervoor. Goed, het heeft zo’n beetje al mijn vrije tijd opgeslokt en ook ik vergat vaak tijd en plaats als ik mij in de diepe krochten van een aantal netwerken bevond. Ik moest oude kennis over SQL afstoffen, me verdiepen in internetprotocollen, de onder controle krijgen, een spoedcursus doen, goochelen met Linuxbesturingssystemen, ruziën met routers, webservers configureren, exploit-documentatie doorgronden en vooral ad hoc veel, heel veel technische problemen oplossen.

En precies al dat gevloek en gezoek én al die plotselinge ingevingen en het gejuich maken het leren hacken zo de moeite waard. Na vier maanden bikkelen kan ik dan ook alleen maar concluderen: wil je leren hoe computers werken, leer dan vooral hoe je ze kunt breken.

Ik ga ermee door. Jij ook?