In 1983 was internet nog niet zo vanzelfsprekend als vandaag. De film War Games draaide rond een jonge hacker die zonder het zelf door te hebben inbreekt op een computer van het Pentagon, en daarmee bijna WO III veroorzaakt. Bij gebrek aan internettoegang gebruikt de jongen 'war dialing', een techniek waarbij de computer een flinke reeks telefoonnummers belt, op zoek naar een andere computer die antwoordt. Eenmaal toegang tot één computer, heeft hij vervolgens toegang tot het hele netwerk waar die computer deel van uitmaakt. En in de begintijd van het internet (of arpanet), betekende dat redelijk beroerd afgeschermde toegang tot computers van universiteiten, onderzoeksinstellingen en het Amerikaanse leger. Wie thuis was in Unix, kon aardig zijn gang gaan met wat puzzelen en geluk.

Toen wifi opkwam, hadden veel organisaties de beveiliging niet best voor elkaar. Netwerken stonden open, of waren extreem makkelijk open te krijgen. In die tijd ontstond 'war driving', vergelijkbaar met war dialing: je rijdt rond op zoek naar openstaande wifi-netwerken. Dit had, zoals veel in de begintijd van het internet, een nogal anarchistisch karakter met een onderling vrij sociale hacker-cultuur. En dat laatste leverde 'warchalking' op. Hierbij geeft een wardriver aan anderen, via simpele symbolen op de stoep voor een kantoor bijvoorbeeld, aan of daar sprake is van een open netwerk, of van een bepaalde vorm van beveiliging zoals WEP of WPA. Door ook de SSID toe te voegen, geef je dan aan je collega hackers een makkelijk startpunt voor inbraak.

Niet iedereen realiseert het zich, maar wifi is over het algemeen prima bereikbaar aan de andere kant van een muur, ook van een buitenmuur. Wie dus op je kantoorvertrek wil rondkijken kan dat van buitenaf doen, gewoon vanaf een parkeerplaats voor de deur.

Warchalking heeft tegenwoordig weinig nut meer, aangezien vrijwel iedereen over een telefoon beschikt die volautomatisch alle beschikbare wifi-netwerken in de buurt scant, de SSID aangeeft indien die wordt uitgezonden en aangeeft of het netwerk beveiligd is of niet. Maar dat maakt de mogelijkheden om toegang te krijgen tot die netwerken natuurlijk niet minder.

Let wel, toegang tot een netwerk geeft nog geen toegang tot de aangesloten computers (met name servers) en toegang tot die computers geeft nog geen toegang tot data. Maar aan de andere kant is het wel goed te bedenken dat toegang tot het ene netwerk, bijvoorbeeld het slecht beveiligde gasten-netwerk, wel meer mogelijkheden geeft tot toegang met verbonden gesloten netwerken.

Je kan voor veel geld pen-testers inhuren om je beveiliging te testen, en dat is heel verstandig, maar niet zo leuk. Veel leuker, en goedkoper bovendien, maar minder verstandig, is zelf gaan klooien!

Wat heb je daar voor nodig? Zonder nu helemaal uit te werken hoe alles werkt, zou ik wel een boodschappenlijstje aan de hand willen doen, waarmee je een poging kan doen je kantoornetwerk te kraken. Doe dat wel in overleg met je werkgever als je niet zelf de eigenaar bent, want ik vermoed dat je anders te maken krijgt met een ander verschijnsel: ontslag op staande voet.

Goed, het boodschappenlijstje:

1. Een Linux-computer natuurlijk. Kali is er voor gemaakt, maar voor de rommelaar zoals ik, zou ik kiezen voor Pi OS, bijvoorbeeld op een Raspberry Pi 4B.
2. Een wifi-adapter die in 'monitor'-mode kan werken en die over een goede antenne beschikt. Zelf heb ik daarvoor de Panda PAU09 aangeschaft. De wifi-adapter van de Raspberry zelf is ongeschikt, omdat deze niet als monitor kan fungeren. Los daarvan is het wel zo handig om de ene adapter te gebruiken als monitor en de andere beschikbaar te houden om verbinding te maken, zeker als je headless werkt.
3. Software. Denk aan kismet, wireshark, aircrack-ng, etcetera.
4. Hulp! Bijvoorbeeld hier.

Bedenk bij dit alles nog even het verhaal van War Games. Je begint met een geintje, je eindigt met WO III. Zo zwaar zal het niet uitpakken, maar we hebben het hier toch echt over spelen met vuur. Ik ben helemaal voor licht-anarchistisch klooien met computers, maar houd je eigen ethische grenzen goed in de gaten en bedenk dat deze wereld vol is van systeembeheerders, security officers, auditors, opsporingsdiensten en anderen die niet noodzakelijk je gevoel voor avontuur en anarchie delen en ook niet altijd menen dat humor alles oplost.

Nog even over de discussie over hackers, crackers, ethische hackers en allerlei kleuren hoeden: Ik vind het niet zo boeiend hoe mensen daar extreem puristisch in kunnen zijn. Ik zie de lol in van hacken en wat je motieven ook precies zijn, een deel zal altijd zijn dat je gewoon de puzzel zoekt, de worsteling met de computer. Dat is gezond en goed. Maar zodra je in de systemen van een ander zit, zonder opdracht daartoe, begeef je je op een gebied waar het (straf)recht iets van gaat vinden. Het Openbaar Ministerie legt het graag uit.