Blog Liesbeth Holterman: ‘Ik leer hacken’ – Week 6
Vorige week zijn tijdens onze wekelijkse hack-avond de SQL-injecties besproken, nu hebben we het over Javascript. Javascript is een programmeertaal om webpagina’s interactief te maken en webapplicaties te ontwikkelen. Eén van de wannabe-hackers die het wel snapt (hij is aangenomen om zich als pentester te laten omscholen) legt in begrijpelijke taal uit hoe Javascript werkt en waar de zwakheden liggen.
Ik leer dat het lastig is om je goed te wapenen tegen zwakheden in Javascript. De reden hiervoor is dat de Javascript-broncode is opgenomen binnen de HTML-pagina, waardoor je via “View Source” alles kunt bekijken. Hierdoor kan iedereen zien hoe de pagina werkt; handige informatie voor hackers! Daarna mogen we zelf aan de slag. Eén van de aspecten die essentieel is voor een goede hacker is social engineering. Onder het motto: de mens in de zwakste schakel probeer je informatie te achterhalen die je kunt gebruiken om de slagingskans van een hack te vergroten. Dat kan dus betekenen dat wanneer je doelwit een groot fan blijkt te zijn van Dobermannhonden omdat zijn Facebook daar vol mee staat, je hem een mail kan sturen met daarin een link naar plaatjes van een schattige Dobermann-puppy. De link is geïnfecteerd en de hacker is binnen!
Ik ga de uitdaging met mijn mede wannabe’s aan om te kijken of het ons lukt om het woonadres van Peter Jan Rens te achterhalen. Via een aantal roddelsites komen we achter de woonplaats van Peter Jan, inclusief een foto van zijn nieuwe huurhuis. Ook blijkt hij zijn Facebook voor iedereen open te hebben staan, dus we achterhalen hij rond november vorig jaar is verhuisd. Via geschiedenis-zoekmachines probeer ik huurhuizen te zoeken die in de zomer van 2014 te huur stonden. Helaas komt daar niets uit. We proberen via Google Maps en Streetview of we het huis kunnen herkennen. Ook dat levert niets op. Een uitgebreide zoekvraag die ik stel via Google levert uiteindelijk het adres op. Ik ben tevreden over mezelf: hacken lijkt vooralsnog niet mijn ding, maar social engineeren lukt me wel. En dat is toch al de helft van het hacken!