 |
| Afbeelding via Unsplash |
Na jaren moest ik maar weer eens op cursus. Ik ging op zoek naar eentje waarbij de kans klein zou zijn dat ik weinig nieuws zou leren; dat overkomt je als oldtimer in het vak al gauw. De cursus ethisch hacken voldeed in ruime mate aan deze eis.
Al
ruim drie decennia beschouw ik de wereld vanaf de goede kant van de streep.
Daarbij houd ik me bezig met beveiligingsbeleid, risicoanalyses en naleving, om
maar een paar dingen te noemen. Ik lees en hoor wat er aan de foute kant van de
streep allemaal gebeurt en probeer het de gasten die daar vertoeven zo moeilijk
mogelijk te maken. Met deze hackcursus wilde ik de wereld eens vanaf hun kant
bekijken. Want zoals Sun Tzu al in de vijfde eeuw voor Christus wist: "Ken
je vijand en ken jezelf, en je hoeft de uitslag van honderd veldslagen niet te
vrezen."
Maar
wat is dat ethisch hacken dan? Kijk, je hebt, zwart-wit bezien, twee soorten
hackers: de goeden en de kwaden. Die laatste halen meestal het nieuws,
bijvoorbeeld door de gegevensdiefstallen bij de politie en Odido. Zo is hacken
ook bekend bij het grote publiek: het wederrechtelijk inbreken in een
computersysteem. De personen, die zich daarmee bezighouden, zijn er in vele
kwaliteiten. Aan de onderkant van de lat heb je de scriptkiddies: lui
die gebruikmaken van kant-en-klare recepten om dingen te doen, zonder dat ze
echt snappen hoe het werkt. En helemaal bovenaan heb je de georganiseerde
criminaliteit en de statelijke actoren (‘staatshackers’).
Maar
er zijn dus ook goedaardige hackers. Die gaan, net als hun kwaadaardige
tegenhangers, op zoek naar zwakke plekken in de verdediging. Het grote verschil
is dat zij die niet voor eigen gewin gebruiken, maar ze netjes melden bij het
bedrijf waar ze die kwetsbaarheid hebben aangetroffen. Je kunt ethische hackers
inhuren om je systemen te laten testen, maar ze opereren ook op eigen houtje.
Vaak krijgen die laatsten, als zich daarbij aan bepaalde regels houden, zelfs
een beloning. Die kan variëren van een T-shirt tot ((heel) veel) geld.
Natuurlijk
ben ik na een vijfdaagse cursus geen volleerde hacker. Sterker nog, het
duizelde mij vorige week van de hackprogramma’s met hun talrijke opties, de
vele poorten die aangevallen kunnen worden en een boel andere dingen die je als
rechtgeaarde hacker uit het hoofd dient te weten. Vroeger, in het tijdperk van
MS-DOS, moest je ook alles vanaf de opdrachtregel (de C:-prompt) doen, maar dat
doet tegenwoordig wel erg archaïsch aan. En toch werkt het in die wereld zo,
maar dan met Linux in plaats van MS-DOS.
Het
belangrijkste wat ik heb geleerd is dat er best veel komt kijken bij hacken,
maar dat het, als je de trucjes eenmaal beheerst, wel heel gemakkelijk is –
althans, als je tegenstander zich niet goed verdedigt. In het eenvoudige
scenario waarmee we hebben geoefend zoek je het IP-adres van je doelwit op, je
kijkt welke poorten er openstaan, je onderzoekt of er kwetsbaarheden voor de
daar draaiende services bekend zijn en hoppa, je bent binnen. Zo gemakkelijk is
het natuurlijk – hopelijk! – lang niet altijd, maar het principe zal wel steeds
hetzelfde zijn: de hacker gaat op zoek naar zwakke plekken in de verdediging. En
dan heb je toch liever dat zo’n kwetsbaarheid door een ethische hacker wordt
gevonden dan door een criminele. Uiteraard helpt dat alleen als je vervolgens
ook iets met de bevindingen doet. Gelukkig begrijpt iedereen dat. Toch?
Ik
had altijd al bewondering voor de collega’s die dit voor hun werk doen. Nu ik
iets beter begrijp wat ze doen, heeft dat respect een flinke upgrade gekregen.
Het is belangrijk en dankbaar puzzelwerk, waar heel wat kennis en kunde bij komt
kijken. Ze doen de nodige ontdekkingen, die soms voor aardig wat ophef zorgen.
Dan zie je ze glunderend rondlopen. Een mooi gezicht.
Ten
slotte wil ik nog iets heel anders delen wat ik geleerd heb en waar iedereen,
die gebruikmaakt van AI-chatbots zoals Copilot, ChatGPT en Claude veel plezier van
kan hebben. Het gaan om ELI5. Dat staat voor explain like I’m 5 en het
zorgt ervoor dat het antwoord in eenvoudige woorden wordt geformuleerd en geen
voorkennis veronderstelt. Niet in kleutertaal, maar vaak met leuke analogieën.
Probeer maar eens iets als: “ELI5 Leg uit wat een IP-adres is”.
En in de grote boze buitenwereld …
- kun je natuurlijk ook een koffieautomaat hacken.
- zitten de Russen misschien ook in jouw router (tip: herstart hem af en toe).
- is niet alleen de Nederlandse politie gehackt.
- zit een romance scammer in de cel nadat hij per ongeluk een collega aan de haak wilde slaan.
- hebben ook astronauten last van IT-problemen.
- ontmaskert dit trucje Noord-Koreaanse fake-sollicitanten.
- gooit security-legende Mikko Hyppönen het tegenwoordig over een andere boeg: hij bestrijdt drones.
- is dit nieuwe AI-model nog even te gevaarlijk om het algemeen beschikbaar te stellen.
- is bij sommige presidenten het beveiligingsbewustzijn nog niet zo goed ontwikkeld.
- hebben Iraanse staatshackers het voorzien op kritieke infrastructuur in de VS.
