Wat te doen met internet boefjes?

Hoe krijg je jeugdige internet criminelen weer op het rechte pad? Wat moeten jonge cybercriminelen doen tijdens het uitvoeren van een taakstraf? Met deze vraag heb ik mij samen met Qbit collega Martijn Baalman en Nick Kusters bezig gehouden tijdens het begeleiden van twee jongeren tijdens het uitvoeren van hun straf voor bureau Halt. Dit in het kader van de Yoda pilot voor een alternatieve taakstraf voor jonge cybercriminelen.

In het kort: in dit geval ging het om twee jongens die op het computersysteem van hun middelbare school waren ingebroken met behulp van een keylogger. Meer details laat ik achterwege. Beter is het om te beschrijven wat we op zo'n dag met deze jongens doen, en dat zijn de volgende vragen:

  • Wat is hacken nou precies en hoe gaat dat in zijn werk?
  • Wanneer is hacken goed of slecht?
  • Wat kan je beter doen als je goed bent in hacken?

Een goede definitie van hacken is: technologie op een creatieve manier gebruiken, anders dan waarvoor deze oorspronkelijk bedoeld is. Op zichzelf is met dergelijke creativiteit totaal niets mis. Een mooi voorbeeld daarvan is IKEA hacken, het gebruiken van IKEA producten voor het maken van iets anders: bijvoorbeeld een kinderfietsje van twee IKEA krukjes. Maar ook iets nieuws uitvinden of ontdekken heeft een sterke relatie met hacken.

Een kinderfietsje gemaakt van twee IKEA krukjes (Bron: Instructables)
Een kinderfietsje gemaakt van twee IKEA krukjes (Bron: Instructables)

In de volksmond staat hacken synoniem voor cybercriminaliteit. In principe klopt dat niet. Een cybercrimineel kan gebruik maken van hacken (al is er weinig creatiefs te bedenken aan het vesturen van een phishing e-mail). Hacken is niet perse cybercriminalitiet. Hacken is in die zin neutraal en voor goede en slechte doeleinden te gebruiken, dat is puur afhankelijk van de motieven van de persoon die aan het hacken is.

Maar hoe gaat hacken nou in zijn werk? Om technologie creatief te kunnen gebruiken is het eerst nodig om die technologie te begrijpen. Vroeger (dat moet begin jaren 80 geweest zijn) speelde ik een autoracespelletje om mijn Commodore 64. In die tijd waren er nog geen fancy stuurwielen e.d. Toen teste ik alle pinnetjes van de joystickpoort om te ontdekken welk contact nodig is om gas te geven. Dat heb ik vervolgens weer heb gebruikt om het pedaal van de naaimachine van mijn moeder aan te sluiten zodat je echt kan gasgeven. Kortom, eerst begrijpen hoe het werkt en daarmee een creatieve stap maken. Om de beveiligingslekken in een website te vinden is het dus eerst noodzakelijk om te begrijpen welke frameworks, libraries en platformen worden gebruikt. Typische eigenschap van een hacker is dan ook een eindeloze nieuwsgierigheid om te willen begrijpen hoe iets werkt.

De jonge cybercriminelen zijn met dit principe aan de slag gegaan door het 'hacken' van een kwetsbare webapplicatie, een speciaal gebouwde website met daarin allerlei beveiligingskwetsbaarheden. De eerste stap is dan ook om te begrijpen hoe de applicatie werkt, welke technologie wordt gebruikt en wat zijn potentieel interessante plekken in de website vanuit het perspectief van een aanvaller? Pas daarna kan geprobeerd worden of de kwetsbaarheden in de website gevonden kunnen worden. Dit is het beste te vergelijken met het oplossen van een hele reeks raadsels, best leuk dus eigenlijk. Gedurende de dag is duidelijk te zien dat het gaat om nieuwsgierige jongens met een enorme drang om te leren en de raadsels te kraken. Ze worden er ook steeds handiger in.

Terugkijkend vond ik het een effectieve dag. Waar het in eerste instantie niet zo nuttig lijkt om cybercriminelen te leren hacken (dan worden ze alleen maar erger) vond ik dat in dit geval juist wel effectief. Dat komt met name door het gegeven dat ik verwacht dat de jongens met of zonder onze hulp toch wel hadden geleerd hoe je moet hacken. Het heeft mijns inziens niet zoveel zin om in dit stadium de jongens af te schermen van een computer. Liever geef ik wat inspiratie en sturing zodat ze een computer op een manier gebruiken waar zijzelf en de maatschappij meer aan hebben. Het praktisch aan de gang gaan met hacken geeft de gelegenheid om diverse onderwerpen te behandelen: van het nut van school, responsible disclosure, het melden van beveiligingslekken tot praktische zaken als sterke wachtwoorden en twee-factor authenticatie.

In de huidige maatschappij is er een schreeuwend tekort aan goed technisch geschoold personeel. Initiatieven als Yoda en HackRight zijn in dit kader aanbevelenswaardig. Onze samenleving heeft behoefte aan slimme jongens en meisjes die als een hacker met creatieve oplossingen de problemen van onze maatschappij aanpakken.

results matching ""

    No results matching ""