Een machine hacken doe je om te zien hoe het mechanisme erachter werkt. Pas toen ik als kind mijn wekker uit elkaar had gehaald snapte ik hoe je met een veer en wat radertjes de tijd kunt bijhouden. Dat ik de boel de eerste keer niet in elkaar terug wist te zetten, was een kleine prijs om voor die kennis te betalen.
Moderne apparaten zijn fiks complexer dan mijn oude opwindwekker was. Sinds alleen al het normaal bedienen van een doorsnee-apparaat een duimdikke handleiding vraagt, lijkt het hacken van die machines nog maar voor een enkel genie te zijn weggelegd. Maar dat is een misvatting.
Makers van apparatuur en mechanismen volgen gewoonlijk elkaars sporen. Verbeteringen en verfijningen gaan uit van eenzelfde premisse: dat het apparaat zó bediend moet worden, dat je er X mee moet kunnen doen terwijl voorkomen moet worden dat iemand Y doet. Hun eigen vertrouwdheid met hun product zorgt voor vaste gewoontes en uiteindelijk voor blinde vlekken. De goede hacker is in staat buiten die gebaande paden te denken en kan met verse ogen naar een apparaat kijken.
Zo ontdekte Toool, een groep mensen die zich toeleggen op het begrijpen van hang- en sluitwerk, recent dat vrijwel alle sloten een manco hebben, inclusief de sloten die door beveilingsbedrijven en de politie worden aangeraden. Met een speciale sleutel en een paar tikjes erop krijgen ze vrijwel elk slot binnen een paar seconden schadevrij open. Hun ontdekking verklaarde een grote serie diefstallen zonder sporen van braak. Fabrikanten van sleutels werken nu aan nieuwe typen sloten, en de slimme onder hen laten hun prototypes door Toool testen. De samenwerking tussen slotenmakers en Toool maakt zo uiteindelijk uw sloten veiliger.
Niet alle fabrikanten reageren zo verstandig als slotenmakers. Wat Toool doet heet ‘reverse engineering’: iets uit elkaar halen om de werking al deducerend te achterhalen. Sommige bedrijven bewegen momenteel hemel en aarde om reverse engineering strafbaar te stellen, of beginnen rechtszaken tegen mensen die een lek of fout in hun machines of software hebben gevonden en dat in een publicatie of een lezing beschrijven. Dit laatste onder het motto dat hackers ‘bedrijfsgeheimen’ of auteursrecht schenden.
Op die manier wordt hacken gecriminaliseerd. Dat is dom. Je wilt juist dat buitenstaanders producten testen en fouten aan bedrijven en consumenten melden. Want wat je niet wilt is dat bedrijven zulke fouten voor zich houden en dat kennis ervan alleen in het geheim circuleert of in foute handen valt. Hacken is publieksvoorlichting en bedrijfsopvoeding ineen, en een pleidooi voor een verstandig gebruik van techniek.
Op diezelfde conferentie waar Toool hun kunnen demonstreerde, sprak ook een Nederlander die sinds jaar en dag machines bestudeert waarmee vingerafdrukken worden gelezen. Hij liet zien hoe hij in tien minuten een andermans vingerafdruk kan afnemen en een latex vingertopje weet te maken waarmee hij elke machine om de tuin leidt. Zijn oplossing: laat vingerlezers controleren of ze levend materiaal lezen. Maar fabrikanten weigeren die oplossing vooralsnog.
Daarmee geven ze ons een vals gevoel van veiligheid. Als we zo hameren op het belang van vingerafdrukken – bijvoorbeeld in ons aanstaande paspoort – moeten we ook hechten aan een goede verificatie om onze eigen afdruk te laten beoordelen. Anders doet al die techniek niets anders dan slimme criminelen een betere dekmantel geven, namelijk die van uw of mijn vingerafdruk. En wij betalen uiteindelijk de rekening van die falende techniek.