Ethisch hacken

Afbeelding via Unsplash

Na jaren moest ik maar weer eens op cursus. Ik ging op zoek naar eentje waarbij de kans klein zou zijn dat ik weinig nieuws zou leren; dat overkomt je als oldtimer in het vak al gauw. De cursus ethisch hacken voldeed in ruime mate aan deze eis.

Al ruim drie decennia beschouw ik de wereld vanaf de goede kant van de streep. Daarbij houd ik me bezig met beveiligingsbeleid, risicoanalyses en naleving, om maar een paar dingen te noemen. Ik lees en hoor wat er aan de foute kant van de streep allemaal gebeurt en probeer het de gasten die daar vertoeven zo moeilijk mogelijk te maken. Met deze hackcursus wilde ik de wereld eens vanaf hun kant bekijken. Want zoals Sun Tzu al in de vijfde eeuw voor Christus wist: "Ken je vijand en ken jezelf, en je hoeft de uitslag van honderd veldslagen niet te vrezen."

Maar wat is dat ethisch hacken dan? Kijk, je hebt, zwart-wit bezien, twee soorten hackers: de goeden en de kwaden. Die laatste halen meestal het nieuws, bijvoorbeeld door de gegevensdiefstallen bij de politie en Odido. Zo is hacken ook bekend bij het grote publiek: het wederrechtelijk inbreken in een computersysteem. De personen, die zich daarmee bezighouden, zijn er in vele kwaliteiten. Aan de onderkant van de lat heb je de scriptkiddies: lui die gebruikmaken van kant-en-klare recepten om dingen te doen, zonder dat ze echt snappen hoe het werkt. En helemaal bovenaan heb je de georganiseerde criminaliteit en de statelijke actoren (‘staatshackers’).

Maar er zijn dus ook goedaardige hackers. Die gaan, net als hun kwaadaardige tegenhangers, op zoek naar zwakke plekken in de verdediging. Het grote verschil is dat zij die niet voor eigen gewin gebruiken, maar ze netjes melden bij het bedrijf waar ze die kwetsbaarheid hebben aangetroffen. Je kunt ethische hackers inhuren om je systemen te laten testen, maar ze opereren ook op eigen houtje. Vaak krijgen die laatsten, als zich daarbij aan bepaalde regels houden, zelfs een beloning. Die kan variëren van een T-shirt tot ((heel) veel) geld.

Natuurlijk ben ik na een vijfdaagse cursus geen volleerde hacker. Sterker nog, het duizelde mij vorige week van de hackprogramma’s met hun talrijke opties, de vele poorten die aangevallen kunnen worden en een boel andere dingen die je als rechtgeaarde hacker uit het hoofd dient te weten. Vroeger, in het tijdperk van MS-DOS, moest je ook alles vanaf de opdrachtregel (de C:-prompt) doen, maar dat doet tegenwoordig wel erg archaïsch aan. En toch werkt het in die wereld zo, maar dan met Linux in plaats van MS-DOS.

Het belangrijkste wat ik heb geleerd is dat er best veel komt kijken bij hacken, maar dat het, als je de trucjes eenmaal beheerst, wel heel gemakkelijk is – althans, als je tegenstander zich niet goed verdedigt. In het eenvoudige scenario waarmee we hebben geoefend zoek je het IP-adres van je doelwit op, je kijkt welke poorten er openstaan, je onderzoekt of er kwetsbaarheden voor de daar draaiende services bekend zijn en hoppa, je bent binnen. Zo gemakkelijk is het natuurlijk – hopelijk! – lang niet altijd, maar het principe zal wel steeds hetzelfde zijn: de hacker gaat op zoek naar zwakke plekken in de verdediging. En dan heb je toch liever dat zo’n kwetsbaarheid door een ethische hacker wordt gevonden dan door een criminele. Uiteraard helpt dat alleen als je vervolgens ook iets met de bevindingen doet. Gelukkig begrijpt iedereen dat. Toch?

Ik had altijd al bewondering voor de collega’s die dit voor hun werk doen. Nu ik iets beter begrijp wat ze doen, heeft dat respect een flinke upgrade gekregen. Het is belangrijk en dankbaar puzzelwerk, waar heel wat kennis en kunde bij komt kijken. Ze doen de nodige ontdekkingen, die soms voor aardig wat ophef zorgen. Dan zie je ze glunderend rondlopen. Een mooi gezicht.

Ten slotte wil ik nog iets heel anders delen wat ik geleerd heb en waar iedereen, die gebruikmaakt van AI-chatbots zoals Copilot, ChatGPT en Claude veel plezier van kan hebben. Het gaan om ELI5. Dat staat voor explain like I’m 5 en het zorgt ervoor dat het antwoord in eenvoudige woorden wordt geformuleerd en geen voorkennis veronderstelt. Niet in kleutertaal, maar vaak met leuke analogieën. Probeer maar eens iets als: “ELI5 Leg uit wat een IP-adres is”.

 

En in de grote boze buitenwereld … 

• kun je natuurlijk ook een koffieautomaat hacken.
• zitten de Russen misschien ook in jouw router (tip: herstart hem af en toe).
• is niet alleen de Nederlandse politie gehackt.
• zit een romance scammer in de cel nadat hij per ongeluk een collega aan de haak wilde slaan.
• hebben ook astronauten last van IT-problemen.
• ontmaskert dit trucje Noord-Koreaanse fake-sollicitanten.
• gooit security-legende Mikko Hyppönen het tegenwoordig over een andere boeg: hij bestrijdt drones.
• is dit nieuwe AI-model nog even te gevaarlijk om het algemeen beschikbaar te stellen.
• is bij sommige presidenten het beveiligingsbewustzijn nog niet zo goed ontwikkeld.
• hebben Iraanse staatshackers het voorzien op kritieke infrastructuur in de VS.