Journalist leert hacken, tussen de hackers: ‘Als hier een bom valt, heeft Nederland een probleem’

Via Twitter volg ik al jaren een groot aantal hackers, of ‘cybersecurity professionals’, zoals ze zichzelf eerder zullen noemen. Ik lees rapporten over enorme digitale bankroven en het leeghalen van mailboxen. Ze zijn als misdaadromans. Het is ongelooflijk wat voor ingenieuze bankroven er wel niet gepleegd zijn. Ocean’s 11 is er helemaal niks bij. Zo zijn er Russen geweest die de wisselkoers tussen roebels en dollars een kwartiertje wisten te manipuleren. In dat kwartiertje zijn er heel wat dollars en roebels van eigenaar gewisseld.

Dit soort hacks beginnen vrijwel altijd met een phishing mail, een mailtje met een pdf als bijlage. Een onbelangrijke bankmedewerker klikt de pdf aan en geeft daarmee een hacker toegang tot een computer.

Maar hoe werkt dat precies? Wat kan de hacker zien? Hoe komt hij verder in het netwerk? Hoe ziet het eruit op zijn beeldscherm? Hoe komt hij van deze computer in de computer waar de banktransacties plaatsvinden? Waar kun je allemaal terecht komen als je de kabels induikt die meer dan twintig miljard apparaten met elkaar verbinden?

Digitale Indiana Jones

Voor een verhaal over cybersecurity-specialist Melanie Rieback mocht ik een keer meekijken hoe een paar tophackers inbraken in de netwerken van een Nederlandse organisatie. Rieback, die je soms met een rugzak op een mountainbike ziet rondzoeven door Amsterdam, leidt het bedrijf Radical Open Security, dat je kunt inhuren om je cyberbeveiliging te testen. Haar hackers zijn freelance en verzamelen zich in een chatbox, een soort afgesloten WhatsAppgroep. Daarin kon ik volgen hoe ze als de digitale varianten van Indiana Jones probeerden wegen te vinden in een wirwar van elektronische netwerken.

Een computer is als een kasteel met poorten en gangen, maar dan een kasteel met tienduizenden poorten en gangen, waarin je eindeloos kunt ronddwalen op zoek naar luikjes die je naar andere kastelen kunnen brengen, verbindingen met nieuwe werelden.

Regelmatig vonden de hackers iets: een onbekend apparaat, een vreemde code of een verstopte sleutel. Eerlijk gezegd begreep ik er weinig van. Wat ik wel begreep, is dat ze binnen drie dagen de controle hadden over alle computers van deze organisatie, die geheim moet blijven, maar waar goede systeembeheerders werkten. Wat ik ook begreep, was dat ik hier meer van wilde weten. Ik wilde dit ook leren. Ik wilde precies begrijpen hoe het werkt. Ik wilde ook door de gangen zwerven. Maar waar leer je dat?

Groene lettertjes

Hoewel ik mezelf geen echte journalist voel, zien hackers me waarschijnlijk wel zo. En dat is een probleem, want hackers houden niet van journalisten. Om het voorzichtig uit te drukken. Journalisten zijn dom en onbetrouwbaar en geven hackers al decennia een slechte naam door hen af te beelden als gezichtsloze reflecties in beeldschermen met groene lettertjes en cijfertjes. Het is een running gag onder hackers om – als een cameraploeg langskomt – naar de website hackertyper.com te gaan en willekeurig wat toetsen in te drukken. Leuk voor iedereen trouwens, om indruk te maken op vrienden, familie of collega’s.

Hoe kan ik leren hacken en erover schrijven, zonder de hackers tegen me in het harnas te jagen?

Om advies te vragen, bel ik Brenno de Winter. Hij schreef ooit een openbare handleiding over hoe je de OV-chipkaart makkelijk kon hacken om zo gratis te reizen. Het kwam hem op een aanvaring met de NS en de overheid te staan. Maar omdat hij alle stapjes netjes gedocumenteerd had, wist zijn advocaat hem vrij te pleiten. Sindsdien is hij een luis in de pels van de overheid. Zijn laatste wapenfeit is een kritisch rapport over de beslissing van de overheid om de software van het Russische cybersecuritybedrijf Kaspersky in de ban te doen. De Winter maakt overtuigend duidelijk dat dit besluit ons land meer kwaad dan goed doet.

Ik vraag hem advies. Hoe kan ik leren hacken en erover schrijven, zonder de hackers tegen me in het harnas te jagen? Hoe krijg ik contact met de beste hackers? Met wie moest ik contact opnemen? ‘Je moet naar Hacker Hotel komen,’ zegt Brenno de Winter over de telefoon.

En dus ging ik naar Hacker Hotel.

Beeldschermen geteld

Drie dagen lang verzamelt de harde kern van de Nederlandse hackersgemeenschap zich in het Westcord Hotel in de Veluwse bossen. Op het parkeerterrein staan een paar auto’s die uit Thunderbirds lijken te zijn weggereden: een gestroomlijnde Tesla en een statige Aston Martin.

Dimitri ‘Hobbybob’ Modderman, een opgewekte kalende man met brilletje, begroet iedereen die binnenstapt. Hij praat hoog en snel, straalt een kinderlijk enthousiasme uit, maar ook zelfverzekerdheid.

Modderman is een beroemdheid in de scene. Al begin jaren ’90 organiseerde hij LAN-feestjes, waarbij jongens en meisjes computers aan elkaar koppelden om ‘projectjes’ te doen. Hij heeft ook een reputatie als laser- en vlammenwerper-bouwer. Trots overhandigt hij me de elektronische badge. ‘Een ESP32-chip, en een e-ink display.’ Naast spelletjes bevat de badge het programma van het festival, en je kunt er zelf dingen mee doen waar hij niet voor bedoeld is. Hacken dus. Een prachtig apparaatje, gemaakt door een speciaal Badge-team.

Een man met een beeldscherm loopt in de richting van de uitgang. ‘De beeldschermen zijn geteld, hè,’ zegt iemand.
‘Oké, dat is dan dus min één,’ zegt de man met het beeldscherm.

Hier niet poepen

Denk bij hackers niet aan adolescenten met hoodies, maar eerder aan knutselaars van alle geslachten en leeftijden. En alle genderkleuren van de regenboog. Trots is Modderman op de aanwezigheid van Jenny List, van de legendarische blog Hackaday.com. Ze groeide op als zoon van een smid op het Britse platteland, maar ze wist dat ze eigenlijk een meisje was. Nu is ze een vrouw van bijna twee meter die alles kan maken en hacken. Geef haar een paar elektrische onderdelen en ze maakt er een radio-apparaatje van waarmee je berichten naar Australië kunt sturen.

Sommige hackers hebben hun kinderen meegenomen. In de gang rijdt een volwassen man op een kinderkarretje dat hij bestuurt met zijn elektronische badge. Veel te snel. In een grote zaal zoemen 3D-printers. Een man glimt van trots omdat hij een oude computers uit de jaren tachtig weer tot leven heeft gewekt, een ander bouwt aan een kubus van beeldschermpjes. Een jongen van een jaar of twintig prutst aan een grote versie van een speelgoedtank. De onderdelen maakt hij met een 3D-printer. ‘Ooit hoop ik hier mijn geld mee te verdienen,’ zegt hij, ‘maar ik weet niet hoe.’ Hij kijkt moedeloos.

‘Als ik uitleg dat ik wil leren hacken, kijkt de man me medelijdend aan. Het maakt me wat onzeker.’

Laptops zijn beplakt met stickers. Een blauwe sticker met ‘HIER WEL POEPEN’, naast een sticker met ‘HIER NIET POEPEN’. Of een foto van Julian Assange die een bordje omhooghoudt: ‘Transparency for the state. Privacy for the rest of us.’

Een jongen uit Duitsland plakt tientallen batterijen aan elkaar in een rechthoekig blok. ‘Batterijen van een robotstofzuiger,’ legt hij uit, ‘dat merk is failliet gegaan, dus ik kon een grote lading van die batterijen goedkoop krijgen.’

Brenno de Winter signeert zijn laatste boek, Survivalgids voor de digitale jungle. Hij heeft iets van een koalabeer. Zijn ogen gaan glinsteren als hij iets grappigs hoort, of als er anekdotes verteld worden over hackerstreken.
‘Weet je nog die ene keer dat we die lampen op 40 Hertz lieten flikkeren en iedereen er gek van werd.’ Een man in uniform eiste toen dat het stopte. ‘Als hij het nou gewoon vriendelijk had gevraagd, dan had ik het meteen uitgezet,’ zegt een jongen met een oranje bivakmuts, ‘ze haatten ons echt daar, hè. Ha ha ha.’ De Winters ogen gaan weer glimmen. Op de strepen op zijn schouder staat met gele fluorescerende letters: ‘cyber’. Hij heeft de strepen zelf laten maken. Ook heeft hij een fluorescerend jasje met in grote letters ‘ONDERZOEKER’ en daaronder ‘CYBERONDERZOEKSRAAD’. De raad heeft hij gewoon zelf opgericht.

Bij de keynotes – zoals over een politieonderzoek op the Dark Web – zit hij op de eerste rij. Af en toe maakt hij een grap die alleen door de insiders begrepen wordt.

Hitech midlife crisis

Het is op het eerste gezicht makkelijk om op te gaan in de hackerswereld. Het is doodnormaal om in een hoekje met een laptop op schoot te gaan zitten. Toch voel ik me een opvallende verschijning. Ik draag een effen trui, zonder opschrift, en heb geen stickers op mijn laptop. Een hacker draagt meestal een T-shirt met een tekst erop, zoals de forse man met baard een felrood T-shirt met in gele letters de tekst ‘Communist Cyber Networks’. Een kleine slanke jongen draagt een T-shirt met ‘I’m off to Otter Space’.

‘Als hier een bom op valt, heeft Nederland een probleem,’ zegt een man van een jaar of vijftig tegen me. Hier lopen de mannen en vrouwen die verantwoordelijk zijn voor de beveiliging van kerncentrales, energiecentrales en pensioenfondsen. Of die de beveiliging van banken testen. Als ik naar zijn achtergrond vraag, kijkt de man me aan alsof hij net een grap heeft verteld. Hij wil me niet zeggen wat hij doet.

Als ik uitleg dat ik wil leren hacken, kijkt hij me medelijdend aan. Het maakt me wat onzeker. Een man van middelbare leeftijd die wil leren hacken, heeft ook wel wat potsierlijks. Zit ik niet gewoon in een soort hitech midlife crisis? Lijd ik niet aan een vorm van zelfoverschatting door me in te beelden dat ik op mijn leeftijd nog kan leren hacken?

Barry vertelt fantastische anekdotes die hij steevast eindigt met de woorden ‘Dit moet je dus echt nooit opschrijven, hè.’

‘Ik heb er jammer genoeg geen tijd meer voor,’ zegt de man, ‘Maar soms ga ik nog wel op Shodan Safari.’ Shodan Safari? ‘Ja, dat is een website die automatisch kwetsbare IOT-toepassingen zoekt.’ IOT staat voor Internet Of Things. Aan internet gekoppelde apparaten, zoals camera’s, apparaten die industriële processen aansturen. Inmiddels zijn het er miljarden. ‘Als je Shodan combineert met War Driving, kun je leuke dingen vinden.’ War Driving? ‘Ja, mensen rijden met auto’s en laptops rond om kwetsbare wifi-verbindingen te zoeken. Op de kaart Wigle.map kun je ze allemaal vinden.’

Hij stuit nog wel eens op een Raspberry Pi die een lichtkrant aanstuurt, of een aan internet gekoppelde slagboom van een parkeergarage. En je vindt soms gewoon besturingssystemen van fabrieken. Als hij jonger was geweest, had hij er grappen mee uitgehaald. Nu geeft hij een seintje aan de eigenaar. Het default password van de Raspberry Pi (een kleine hobby-computer van 25 euro) is ‘raspberry’. Als je het aan het internet koppelt, kun je dat beter veranderen.

Magnetron in satellietschotel

Buiten klinkt plotseling een vreemd geluid. Het houdt het midden tussen een knal en het geluid van een grote ballon die snel leegloopt. De mensen staan op en lopen naar een raam. Uit zelfgemaakte vlammenwerpers stijgen metershoge vlammen de lucht in.

Even later staan buiten twee jongens op eerbiedwaardige afstand van een bloempot. Ze lopen er omheen alsof het een wespennest is. Aan de omstanders leggen ze uit dat er thermiet in zit, een mengsel van magnesium en verroest ijzer.

‘Het duurt een paar minuten en dan gaat het uit zichzelf ontbranden. Het wordt meer dan drieduizend graden, dus kijk niet recht in het licht.’

Maar er gebeurt niks.

‘Omdat het koud is, kan het even duren voor de reactie op gang komt. Vijf minuten misschien wel.’

Na tien minuten gebeurt er nog niks. Het publiek begint te morren. Even naar de bloempot toelopen kan niet. ‘Dat is levensgevaarlijk, want ieder moment kan de thermiet plotseling tot ontbranding komen, en dan wil je niet in de buurt zijn.’

Wat nu?

Gelukkig komt er iemand aan die een speciaal brandwerend pak bij zich heeft, een soort tent van aluminiumfolie met armen en benen. Het duurt even voordat de jongen het pak aan heeft. Als een zombie loopt hij in de richting van de gevaarlijke bloempot, een gasbrandertje in de rechterhand. Het lijkt er sterk op dat hij weinig ziet. Een andere jongen loopt in zijn richting en probeert hem de goede kant op te duwen en moed in te praten. Heel voorzichtig maakt de jongen de thermiet warm met de gasbrander. De reactie komt op gang en een paar seconden licht het hotel fel op. De jongen zet een paar passen naar achteren en stapt uit het pak.

Hij is lijkbleek.

Een van de omstanders vertelt dat ze bij de hackerspace Hack 42, een statig wit gebouw in de bossen bij Arnhem, een satellietschotel hebben staan. Ze maakten ooit een magnetron open en knutselden het binnenwerk in de satellietschotel. Ze richtten de schotel op de lege magnetronkast. ‘Zoef, zo’n groot gat in die kast. Ha ha ha. Levensgevaarlijk! Ha ha ha.’ Binnen rijdt een grote speelgoedtank rond. De sombere jongen loopt erachteraan. Hij kijkt niet somber meer.

Hulp vragen

De dinsdag na het hackerhotelweekend ga ik naar de hackerspace Randomdata in Utrecht. Naast een metalen hek zit een bel. Als ik aanbel, maakt iemand een hek van binnen open en krijg ik toegang tot een donker poortje. Daarin zit nog een deur. De deur van de hackerspace. Een kleine ruimte met een tafel, een bank, een Anonymous-masker en bakken met elektronica. Ook ligt er een gebogen stalen buis. Een van de leden wil een superkoelkast maken die 200 graden onder nul kan bereiken. Zodat lucht vloeibaar wordt.

De space wordt geleid door Barry ‘Fish’ van Kampen, een oude hacker van het hoogste kaliber. Als tiener kon hij ons land vanachter zijn computer al onder water laten lopen door wat sluisdeuren open te zetten. Dat deed hij gelukkig niet. Wel meldde hij het netjes aan de overheid. Tegenwoordig leidt hij een bedrijf van pentesters: jongens en meisjes die ingehuurd worden om een bedrijf of een organisatie binnen te komen. Fysiek en online. Om de beveiliging te testen.

Barry vertelt fantastische anekdotes die hij steevast eindigt met de woorden ‘Dit moet je dus echt nooit opschrijven, hè.’

Ik vraag of hij aan mij wil laten zien hoe dat werkt, Shodan Safari en dat in combinatie met Wigle.com. Barry kijkt me wantrouwend aan. ‘Is daar eigenlijk al wel eens over geschreven?’ vraagt hij. ‘Ik heb een stukje gevonden op Techcrunch,’ zeg ik, ‘verder niks.’ ‘Mooi.’

Barry negeert mijn verzoek verder. ‘Als je deze wereld wilt doorgronden, moet je jezelf niet opstellen als journalist,’ zegt hij, ‘je moet een project gaan doen. Iets maken. Hulp vragen. Dan komt de rest vanzelf.’
Uit zijn tas haalt hij een chip. ‘Een ESP 32 chip.’

Hij gooit hem. Ik vang hem. WeMos staat erop. Een minicomputertje met wifi en bluetooth. Barry geeft me een LED-lampje met pinnetjes die ik op de chip kan duwen. ‘Maak hier maar eens iets leuk van, zodat je aan de kleur van een lampje kunt zien hoe warm het is… Ga maar eens een projectje doen.’