In films zitten ze in een duistere kelder te tokkelen op een klavier, maar hackers bestaan wel degelijk. Onze man vond er een paar en vroeg hen om een demonstratie. In een oogwenk braken ze in op zijn computer en gsm, kopieerden ze zijn bestanden en prikten ze allerlei gaten in zijn beveiligingssysteem. “Als ik wil, verstop ik nu kinderporno op je laptop en bel ik de flikken.”

“Moet ik het wachtwoord van mijn account invoeren?” vraag ik aan offensive security experts Filip Waeytens en Dennis Verslegers, terwijl ze mijn laptop openklappen. Ze lachen. “Dat is niet nodig.” Een minuut en veertig seconden, een heleboel flitsende lettertjes en een USB-stick later hoor ik het vertrouwde Windows-deuntje en zie ik de bekoorlijke Rachael Taylor naar goede gewoonte op mijn bureaublad verschijnen. Zo lang duurt het dus om een computerwachtwoord te omzeilen. “En bovendien ben ik nu administrator en kan ik dus meer doen op je laptop dan jij”, zegt Waeytens. “Als je een programma wil installeren zonder dat de IT-beheerder van je werkgever ervan weet: het is het moment.” (lacht)

Het klopt dus dat inbreken op iemands computer een fluitje van een cent is. “Het hacken op zich is inderdaad simpel,” vertelt Waeytens, “al moet je wel een onderscheid maken tussen hackers en script kiddies. Die laatsten zijn mensen die nul komma nul computerkennis hebben. Ze downloaden gewoon enkele bestaande programma’s en voeren die uit. Als ze met het ene programma iemands pc niet kunnen hacken, dan proberen ze het met een ander.” Wat Waeytens en Verslegers doen om hun brood te verdienen, is een pak gecompliceerder. Bedrijven huren hen in om zich binnen vooraf bepaalde grenzen te laten hacken, om zo hun verdedigingslinies te testen.
Dat wordt meer en meer een huzarenstukje: Google, Microsoft, Apple,… Allemaal doen ze hun stinkende best om hun systemen zo goed mogelijk te beveiligen. “Daardoor zie je de laatste jaren een duidelijke verschuiving van zuiver technische hacking naar social engineering, waarbij het menselijk brein gehackt wordt. Werknemers zijn de zwakste schakel in een bedrijf. Via hen kan je eenvoudig ergens binnenraken”, aldus Waeytens. Verslegers vult aan: “Ik geef een voorbeeld. Als je met twee koffies in je handen voor een deur staat, zal er altijd iemand die deur voor je openen, zelfs al kent men jou niet. Zo snel ben je in een bedrijf binnen Het is zaak om de goedheid van de mensen te gebruiken. Je moet een onderscheid maken tussen een deur proberen open te breken en iemand zover krijgen om die deur voor je open te houden. Dat tweede lukt altijd, het is een kwestie van tijd.”

En dat het snel kan gaan eenmaal je fysieke toegang tot een computer hebt, ondervond ik net zelf aan den lijve. Op minder dan twee minuten konden Waytens en Verslegers inbreken in mijn computer. Dus wie in een koffiebar snel naar het toilet gaat en zijn laptop onbewaakt achterlaat, kan het vlaggen hebben. “Maar ook wanneer je zelf in de buurt van je computer bent, kan iemand je hacken”, zegt Verslegers. “Het volstaat om een bestand van je computer te kopiëren van of naar een USB-stick. De eigenaar van die stick kan zo een backdoor (een programma als een sluipweg om beveiligingsmechanismen te omzeilen; red.) op een pc zetten. En je zal er zelf helemaal niets van merken.”
Ik opper dat ik niet zomaar een onbekende USB-stick in mijn computer steek. Verslegers glimlacht. “Stel: tijdens een vergadering laat ik het geluidje afspelen dat aangeeft dat de batterij van mijn gsm bijna leeg is en ik vraag of ik het toestel even via je laptop mag opladen. Je zou al een eikel moeten zijn om dat te weigeren. Toch is ook dat absoluut not done, want een smartphone is óók een memorystick en je weet niet welke schadelijke software erop staat. Binnen de kortste keren heb je je laten hacken.” Terwijl ik in gedachten het rijtje afga van alle mensen wier gsm ooit aan mijn laptop gehangen heeft, is Filip Waeytens verder in de weer met mijn laptop. Hij zet er zo’n backdoor op, waarmee hij de volledige toegang tot mijn computer krijgt. “Je kan op het net zelf verschillende backdoors vinden, maar wij hebben er eentje die we zelf wat aanpassen, zodat het antivirusprogramma het niet detecteert.” Mijn Symantec Endpoint Protection blijkt niet bij de slechtste leerlingen van de klas te zijn, want even protesteert hij. Maar een paar clicks later zwijgt het ding en kan de backdoor zijn werk doen.