In de media worden hackers afgeschilderd als criminelen die zichzelf illegaal toegang verlenen tot computersystemen en netwerken, maar eigenlijk is een hacker gewoon iemand die erg goed met computers en met internet overweg kan. Sommige hackers gebruiken hun kennis en vaardigheden inderdaad voor illegale en onzuivere activiteiten, terwijl anderen het vooral als een leuke uitdaging zien. Ethische hackers gebruiken hun vaardigheden om problemen op te lossen en beveiligingssystemen te versterken. Deze hackers passen hun kennis toe om criminelen en kwetsbaarheden in beveiligingssystemen op het spoor te komen. Zelfs als je niet direct van plan bent om te gaan hacken, kan het nuttig zijn om te weten hoe hackers te werk gaan, zodat je minder snel het slachtoffer wordt van hun activiteiten. Als je denkt dat je er klaar voor bent om je in dit stekelige thema te verdiepen, lees dan dit artikel voor een aantal handige tips die je alvast een eindje op weg kunnen helpen.
Stappen
-
Zorg dat je begrijpt wat hacken precies is. In feite wordt met hacken een groot aantal verschillende technieken bedoeld die gebruikt kunnen worden om een digitaal systeem te bewerken of er zonder toestemming in binnen te dringen. Het kan daarbij om een computer, een mobiele telefoon of een tablet gaan, maar ook om een volledig netwerk. Een hacker beschikt over verschillende gespecialiseerde vaardigheden. Sommige van die vaardigheden zijn erg technisch, terwijl andere juist eerder psychologisch zijn. Er bestaan allerlei verschillende soorten hackers, die stuk voor stuk om verschillende redenen actief zijn. [1] X Bron
-
Begrijp de ethiek van het hacken. Hoewel hackers algemeen worden afgeschilderd als criminelen, is hacken op zichzelf niet per definitie goed of slecht. Het kan namelijk zowel voor legale als voor illegale doeleinden gebruikt worden. Hackers zijn gewoon mensen die technisch zijn aangelegd en wel van een uitdaging houden, en die het daarom leuk vinden om ingewikkelde problemen op te lossen. Je kunt je vaardigheden als hacker dan ook gebruiken om oplossingen voor problemen te vinden, maar je kunt ze ook gebruiken om juist problemen te creëren en je in te laten met illegale activiteiten.
- Waarschuwing: Het verkrijgen van toegang tot computers die niet van jou zijn is een ernstig misdrijf. Als je ervoor kiest om je kennis op het gebied van hacken voor zulke doeleinden te gebruiken, moet je je ervan bewust zijn dat er ook hackers bestaan die hun vaardigheden voor positieve doeleinden gebruiken (zij worden ook wel legale of white hat hackers genoemd). Sommigen van deze legale krakers worden goed betaald om achter slechte hackers (ook wel black hat hackers genoemd) aan te gaan. Houd er rekening mee dat je, als je betrapt wordt op het uitvoeren van illegale hackeractiviteiten, in de gevangenis terecht kunt komen.
-
Leer hoe je het internet en HTML moet gebruiken. Als je gaat hacken, moet je weten hoe je het internet optimaal kunt gebruiken. Je moet niet alleen weten hoe je een webbrowser moet gebruiken, maar ook hoe meer geavanceerde zoekmachines precies werken. Ook zul je moeten weten hoe je met behulp van HTML internet-content kunt produceren. Terwijl je leert hoe HTML precies werkt, zul je ook een aantal goede mentale gewoonten aanleren die je zullen helpen te leren programmeren. [2] X Bron
-
Leer te programmeren. Het leren van een programmeertaal kan tijd kosten, dus je hebt er om te beginnen geduld voor nodig. Probeer te leren denken als een programmeur, in plaats van je te focussen op het leren van individuele talen. Probeer de overeenkomsten te herkennen tussen de verschillende programmeertalen die er bestaan.
- C en C++ zijn de talen met behulp waarvan Linux en Windows gebouwd zijn. In combinatie met een assembleertaal leren deze talen je hoe computergeheugen precies werkt; iets wat heel belangrijk is binnen het hacken.
- Python en Ruby zijn krachtige scripttalen van hoog niveau waarmee een groot aantal verschillende taken kan worden geautomatiseerd.
- PHP is een taal die de moeite waard is om te leren, omdat de meeste webapplicaties PHP gebruiken. Ook Perl is op dit gebied een redelijk goede keuze.
- Bash scripting is een absolute must. Hiermee kun je namelijk het makkelijkst de besturingssystemen van het type Unix en Linux manipuleren. Met behulp van Bash kun je scripts schrijven, die vervolgens het meeste werk voor je zullen doen.
- Assembleertaal is een must. Assembleertaal is de basistaal die je processor begrijpt, en er bestaan meerdere varianten. Je zult een programma nooit optimaal kunnen uitbuiten zonder assembly te kennen.
-
Kies een zogenaamd open source systeem dat gebaseerd is op Unix en leer het te gebruiken. Er bestaan meerdere besturingssystemen die gebaseerd zijn op Unix, waaronder Linux. De overgrote meerderheid van de webservers op het internet zijn gebaseerd op Unix. Om het internet te kunnen kraken zul je dus hoe dan ook Unix moeten leren. [3] X Bron Ook kun je op die manier in open-source systemen zoals Linux de broncode lezen en wijzigen, zodat je daar vervolgens aan kunt sleutelen.
- Unix en Linux worden op verschillende manieren gedistribueerd. De populairste distributie van Linux is Ubuntu. Je kunt Linux installeren als je primaire besturingssysteem, maar je kunt ook een virtuele Linux-machine maken. Ook kun je Windows en Ubuntu Dual booten.
Advertentie
-
Beveilig om te beginnen je computer. Om te kunnen hacken heb je allereerst een systeem nodig waarbinnen je je aangeleerde hackerskunsten kunt oefenen. Zorg er alleen wel voor dat je toestemming hebt om het doel dat je voor ogen hebt aan te vallen. Je kunt je eigen netwerk aanvallen, schriftelijke toestemming vragen, of een laboratorium opzetten met virtuele computers. Zonder toestemming een systeem aanvallen, ongeacht de inhoud ervan, is verboden en zal je hoe dan ook in de problemen brengen.
-
Zorg dat je je doelwit kent. Het verzamelen van informatie over je doelwit wordt ook wel opsommen genoemd. Het doel hierbij is om een actieve verbinding met je doelwit tot stand te brengen en er zwakke plekken in te ontdekken die je vervolgens kunt gebruiken om het systeem verder te kraken. Binnen het opsomproces kun je gebruik maken van verschillende hulpmiddelen en technieken. Je kunt binnen een groot aantal verschillende internetprotocollen opsommen, waaronder NetBIOS, SNMP, NTP, LDAP, SMTP, DNS en systemen van het type Windows en Linux. Je moet altijd proberen de volgende gegevens te verzamelen: [5] X Bron
- Gebruikersnamen en groepsnamen
- Hostnamen
- Netwerkshares en -diensten
- IP- en routeringstabellen
- Service-instellingen en controleconfiguraties
- Applicaties en banners.
- Gegevens m.b.t. SNMP en DNS
-
Test je doel. Kun je het systeem op afstand bereiken? Hoewel je het hulpprogramma Ping , dat in de meeste besturingssystemen is inbegrepen, kunt gebruiken om te zien of je doel actief is, zijn de resultaten die je op die manier verkrijgt niet altijd betrouwbaar. Het hulpprogramma Ping is gebaseerd op het protocol ICMP, dat vrij vaak wordt gebruikt door overbezorgde systeembeheerders. Ook zijn er hulpmiddelen die je kunt gebruiken om een e-mailadres te controleren om te kunnen zien welke server het adres gebruikt.
- Je kunt deze en andere hulpmiddelen die je nodig hebt onder meer vinden op specifieke forums voor hackers. [6] X Bron
-
Scan de poorten. Je kunt een poortscan uitvoeren met behulp van een netwerkscanner. Op die manier kun je zien welke poorten er op de computer open staan, van welk besturingssysteem en vaak zelfs van welk type firewall of router de computer gebruik maakt, zodat je op basis van die gegevens een actieplan kunt maken.
-
Ga op zoek naar een pad of een open poort in het systeem. Gangbare poorten zoals FTP (21) en HTTP (80) zijn vaak goed beveiligd, en mogelijk alleen gevoelig voor soorten aanvallen die nog ontdekt moeten worden. Probeer andere TCP- en UDP-poorten die misschien over het hoofd zijn gezien, zoals Telnet en verschillende poorten van het type UDP die open zijn gelaten voor bijvoorbeeld LAN-gaming.
- Als de Poort 22 open staan is dat meestal een bewijs van een zogenaamde secure shell oftewel SSH-service die op het doelwit draait en soms geforceerd kan worden met zogenaamde brute force.
-
Probeer het wachtwoord of het authenticatieproces te kraken. Je kunt een wachtwoord op verschillende manieren kraken. Een aantal veelgebruikte methoden zijn:
- Brute Force: Een aanval met brute force houdt in dat je simpelweg probeert het wachtwoord van de gebruiker te raden. Dit is handig om wachtwoorden te kraken die relatief gemakkelijk te raden zijn (bijvoorbeeld wachtwoord123). Hackers gebruiken vaak hulpmiddelen die snel verschillende woorden uit een woordenboek raden om te proberen een wachtwoord te kraken. Gebruik om jezelf te beschermen tegen een dergelijk brute-force-aanval liever geen simpele, makkelijk te raden woorden als wachtwoord. Probeer altijd een combinatie van letters, cijfers en bijzondere tekens te gebruiken.
- Zogenaamde Social Engineering: Bij deze techniek neemt een hacker contact op met de gebruiker en verleidt diegene zijn of haar wachtwoord af te staan. De hacker zegt bijvoorbeeld op de IT-afdeling te werken en beweert dat ze daar het wachtwoord van de gebruiker nodig hebben om een bepaald probleem op te lossen. Ook kan de hacker door middel van dumpster-diving proberen informatie te verkrijgen, of een beveiligde ruimte proberen binnen te dringen. Geef je wachtwoord daarom nooit aan anderen, wie de persoon in kwestie ook beweert te zijn. Vernietig ook altijd eventuele documenten die wachtwoorden en/of andere persoonlijke gegevens bevatten.
- Phishing: Phishing, oftewel vissen, is een techniek waarbij een hacker een e-mail naar een gebruiker stuurt die zogenaamd afkomstig is van een persoon of bedrijf die de gebruiker vertrouwt. Vaak bevat zo’n e-mail een bijlage die spyware of een keylogger installeert op de ontvangende computer. Ook kan het bericht een valse, door de hacker gemaakte, link bevatten naar de website van een bepaald bedrijf, die er echt en betrouwbaar uitziet. De gebruiker wordt vervolgens gevraagd om zijn of haar persoonlijke gegevens in te voeren, die dan dus in handen van de hacker terechtkomen. Om te voorkomen dat je het slachtoffer wordt van deze vorm van oplichting, moet je nooit e-mails openen die je niet helemaal vertrouwt. Controleer altijd of een website beveiligd is (door te kijken of het URL-adres de letters ‘HTTPS’ bevat). Ga altijd rechtstreeks naar zakelijke websites en open geen links die je via een e-mail toegestuurd hebt gekregen.
- ARP Spoofing: Bij deze techniek gebruikt een hacker een app op zijn of haar smartphone om een vals wifi-toegangspunt te creëren waarin iedereen op een bepaalde openbare locatie kan inloggen. De hacker kan het punt een naam geven die de indruk geeft dat het bij de plaatselijke vestiging van bijvoorbeeld een bedrijf of winkel hoort. Vervolgens melden allerlei mensen zich aan in de veronderstelling dat ze bij een openbaar wifi-netwerk inloggen, waarna de app alle gegevens registreert die door deze mensen via het internet worden verzonden. Als zij zich aanmelden met een gebruikersnaam en een wachtwoord via een verbinding die niet is vergrendeld, slaat het hulpprogramma die gegevens op waardoor de hacker ze kan gebruiken. Voorkom dat je het slachtoffer wordt van dit soort aanvallen door openbare wifi-toegangspunten als het even kan te vermijden. Als je er niet onderuit kunt en toch gebruik moet maken van een openbaar wifi-netwerk, check het dan altijd even aan de eigenaar van een zaak in de buurt om te kunnen controleren of je je wel bij het juiste toegangspunt hebt aangemeld. Ga na op je verbinding vergrendeld is door te kijken of het URL-adres een padlock oftewel een hangslot bevat. Je kunt ook gebruikmaken van een VPN.
-
Zorg dat je de beschikking over zogenaamde super-user privileges krijgt. Meestal is informatie die van vitaal belang is beschermd en heb je een bepaald niveau van authenticatie nodig om toegang te kunnen krijgen tot die gegevens. Om alle bestanden op een computer te kunnen bekijken heb je zogenaamde super-user privileges nodig, oftewel een gebruikersaccount die je dezelfde rechten geeft als de zogenaamde ‘root-gebruiker’ in besturingssystemen van het type Linux en BSD. Voor routers is dit standaard de ‘admin’ account (tenzij deze gewijzigd is) en binnen Windows is dit de account van de Beheerder. Er zijn een paar trucjes die je kunt toepassen om super-user rechten te kunnen krijgen:
- Buffer Overflow: Een zogenaamde bufferoverloop werkt als volgt: Als je de geheugenlayout van een systeem kent, kun je er informatie in invoeren die de buffer niet kan opslaan. Je kunt zo de code in het geheugen overschrijven met je eigen code en vervolgens de controle over het systeem overnemen. [7] X Bron
- In systemen van het type Unix zal dit gebeuren als de afgeluisterde software de setUID bit heeft ingesteld om bestandspermissies op te slaan. Het programma zal dan worden uitgevoerd onder de naam van een andere gebruiker (bijvoorbeeld een supergebruiker).
-
Creëer een achteringang. Als je eenmaal de volledige controle over een computer hebt bemachtigd, is het verstandig om ervoor te zorgen dat je opnieuw binnen kunt komen. Om een achterdeur te maken moet je een stukje malware installeren op een belangrijke systeemdienst, zoals de SSH-server. Op die manier zul je het standaard authenticatiesysteem kunnen omzeilen. Wel kan het zo zijn dat de achterdeur die je hebt aangemaakt tijdens de eerstvolgende systeemupgrade weer verwijderd wordt.
- Een ervaren hacker zou voor de compiler zelf een achteringang creëren, dus op zich zou iedere gecompileerde software een potentiële manier moeten zijn om weer terug te kunnen komen.
-
Wis altijd je sporen. Laat de beheerder nooit weten dat je aan het systeem hebt gesleuteld. Wijzig niks op de bijbehorende website. Maak niet meer bestanden aan dan je nodig hebt. Maak geen extra gebruikers aan en handel zo snel mogelijk. Als je een server van het type SSHD hebt gepatcht, zorg er dan voor dat je geheime wachtwoord sterk gecodeerd is. Als iemand met dit wachtwoord probeert in te loggen, zou de server hem moeten binnenlaten, maar hij zou geen cruciale informatie mogen bevatten.Advertentie
Tips
- Tenzij je een expert of een professionele hacker bent, is het gebruik van deze technieken op een veelgebruikte bedrijfs- of overheidscomputer vragen om problemen. Bedenk dat er ‘altijd’ mensen rondlopen die meer kennis van zaken hebben dan jij, en die ervoor betaald worden om deze systemen te beschermen. Als zij eenmaal iets verdachts op het spoor zijn gekomen, controleren ze de indringer vaak een tijdje om hem of haar in de val te lokken, voordat ze gerechtelijke stappen ondernemen. Het kan daarom zijn dat je denkt dat je vrije toegang hebt tot een bepaald systeem en ongemerkt je gang kunt gaan, terwijl je in feite in de gaten wordt gehouden en op elk moment op heterdaad kunt worden betrapt.
- Hackers zijn degenen die het internet hebben gebouwd, Linux gecreëerd hebben en open-source software ontwikkelen. Het is op zich dus raadzaam om je in het hackproces te verdiepen. Hacken wordt als vaardigheid namelijk behoorlijk gerespecteerd, en als je er voldoende van weet kun je er veel serieus werk mee verrichten binnen een professionele omgeving.
- Houd in gedachten dat als je doelwit niet zijn best doet om je buiten te houden, je nooit een goede hacker zult worden. Ga uiteraard niet naast je schoenen lopen. Denk niet dat je tot de allerbesten behoort. Maak dit je doel: alsmaar beter en beter worden. Een dag waarop je niks nieuws leert, is een verspilde dag. Jij bent het enige wat telt. Zorg dat je koste wat het kost de beste wordt. Er bestaat geen tussenweg. Je moet jezelf volledig geven. Zoals Yoda uit Star Wars het zou zeggen: ‘Doe het of doe het niet. Proberen is geen optie.’
- Lees boeken over netwerken van het type TCP/IP.
- Er bestaat een groot verschil tussen een hacker en een cracker. Een cracker is actief om criminele redenen, en probeert meestal alleen maar aan geld te komen. Een hacker probeert daarentegen om informatie en kennis te vergaren door middel van verkenning, oftewel het omzeilen van de beveiliging.
- Oefen eerst door te proberen op je eigen computer in te breken.
Waarschuwingen
- Verwijder geen complete logfiles. Wis in plaats daarvan alleen de belastende vermeldingen uit het bestand. Een andere vraag die je jezelf moet stellen is of er een backup van het logbestand bestaat. Wat zou er gebeuren als de beheerder gewoon de verschillen gaat zoeken en precies kan zien wat jij verwijderd hebt? Denk altijd na over de dingen die je doet. Je kunt het beste willekeurige regels uit het logboek te wissen, waaronder die van jou.
- Misbruik van door hacken verkregen gegevens kan zowel binnen Nederland als in het buitenland strafbaar zijn. Dit artikel is bedoeld ter informatie en mag alleen worden gebruikt voor doeleinden die ethisch verantwoord en niet illegaal zijn.
- Doe nooit iets zomaar voor de lol. Bedenk bij jezelf dat het hacken van een netwerk geen onschuldig spelletje is, maar een machtig middel waarmee je de wereld kunt veranderen. Verspil die kracht die je hebt niet aan kinderachtig tijdverlies.
- Als je niet zo zeker bent van je vaardigheden als hacker, probeer dan nooit om het netwerk van een bedrijf, van de overheid of van een militaire instantie binnen te dringen. Ook als de beveiliging van zo’n netwerk niet zo sterk is, is er vaak veel geld beschikbaar om eventuele indringers op te sporen en aan te houden. Mocht je al dan niet toevallig toch een zwakke plek in zo'n netwerk vinden, dan kun je die informatie beter doorgeven aan een meer ervaren hacker die je vertrouwt en die misschien graag toegang wil hebben tot de betreffende systemen.
- Het hacken van andermans systeem kan illegaal zijn, dus doe het alleen als je zeker weet dat de eigenaar van het systeem het goed vindt dat je het probeert te kraken, en alleen als het echt de moeite waard is. Het risico dat je gepakt zult worden is anders te groot.
- Wees altijd uiterst voorzichtig als je denkt dat je een ongewoon makkelijk gat of een grove fout in het beveiligingsbeheer hebt gevonden. De kans is groot dat degene die verantwoordelijk is voor de bescherming van het systeem je op die manier voor de gek probeert te houden of probeert een zogenaamde honeypot voor je op te zetten.
- Het kan zijn dat je het tegenovergestelde gehoord hebt, maar help nooit anderen bij het patchen van hun programma's of systemen. Dit wordt als een erg laffe daad beschouwd en zal er in bijna alle gevallen toe leiden dat je uit de meeste hackergemeenschappen zult worden verbannen. Als je een privé-aanval vrij zou geven die iemand gevonden heeft, kan deze persoon je vijand worden. Deze persoon is waarschijnlijk beter in hacken dan jij.
Benodigdheden
- Snelle pc of laptop met internetverbinding
- Proxy (eventueel)
- IP-scanner
Bronnen
- ↑ https://www.malwarebytes.com/hacker/
- ↑ http://www.catb.org/esr/faqs/hacker-howto.html
- ↑ https://www.youtube.com/watch?v=tlezBUdD53w
- ↑ https://blog.techorganic.com/2013/12/10/creating-a-virtual-machine-hacking-challenge/
- ↑ https://resources.infosecinstitute.com/what-is-enumeration/#gref
- ↑ https://www.hackerone.com/blog/100-hacking-tools-and-resources
- ↑ https://www.imperva.com/learn/application-security/buffer-overflow/