Op het kleine en op grote scherm hebben briljante hackers altijd direct succes en zijn ze de lange arm van de wet altijd net een stapje voor. En door de bank genomen heb je ook maar twee typen hackers. Of ze zien eruit alsof ze zijn weggelopen uit een cyberpunk modeshow en hebben ze een mooie griet als vriendin, of het zijn colaslurpende dikkerds die in hun eentje zitten te computeren op hun rommelige zolderkamertjes.

Maar in het echt is hacken natuurlijk een langdradig werk, niet echt geschikt voor Hollywood.

Toch heeft Hollywood invloed op hoe de massa over hackers en hacken denkt. Hoe vaak ik vrienden al niet heb moeten teleurstellen omdat ik niet direct hun draadloos netwerk of Facebook-account kon kraken toen ze hun wachtwoorden waren vergeten. En ik heb newbies in een penetratie testteam verbaasd zien staan omdat we niet direct, zonder een beetje onderzoek, konden inbreken in elke server die we tegenkwamen.

In het echte leven is hacken 95 procent monotonie en maar 5 procent opwinding, terwijl geconcentreerde vasthoudendheid meer is dan een prettige bijkomstigheid. Het is zowat alles wat er toe doet!

Tot zover de echte wereld, want die is niet besteed aan Hollywood. Nu wat onzin over hacken waaraan ik me het meest erger.

Kevin Smith als meesterhacker, bij zijn moeder in de kelder, in Live Free or Die Hard:

1. Het raden van wachtwoorden

In veel, zo niet alle films met hackscenes staat de hoofdpersoon onder grote druk om een wachtwoord te raden in minder dan een minuut. Het perfecte voorbeeld daarvan is natuurlijk Swordfish uit 2001, waarin de slechterik John Travolta een pistool tegen het hoofd van Stanley de hacker zet, gespeeld door Hugh Jackman.

Stanley zweet peentjes, tikt zó snel allerlei verschillende wachtwoorden in dat het maar al te duidelijk is dat hij nooit iets coherents kan hebben ingevoerd. En op het allerlaatste nippertje , nadat hij honderden verschillende wachtwoorden heeft uitgeprobeerd, tovert hij zomaar het juiste uit de hoge hoed. En drukt hij op Enter.

Wat Stanley hier doet kan eigenlijk alleen maar met Hackertyper.

Is er ook maar één systeem geweest in de geschiedenis van de film dat ooit een aanvaller heeft geblokkeerd nadat er een bepaald aantal verkeerde wachtwoorden was ingevoerd?

In andere hackerfilms raden de hoofdpersonen het juiste wachtwoord ook vrij snel. De hacker kijkt wat rond in het kantoor, ziet een foto van de CEO die golf speelt en weet dan blijkbaar direct dat 'Titleist' het juiste wachtwoord is. Zeker, het proberen van woorden die te maken hebben met de hobby van het slachtoffer is een bekende techniek. Maar ik heb nog nooit meegemaakt dat de eerste gok goed was.

Het raden van wachtwoorden vergt over het algemeen honderden (zo niet honderdduizenden) pogingen. Als je niet wordt afgesloten na een paar verkeerde wachtwoorden, dan kan de hacker het proberen met woordenboekprogramma's. Vandaag de dag, nu men meestal complexe wachtwoorden met acht of meer karakters gebruikt, kom je echt niet ver meer met handmatig gokken, hoe briljant je ook mag zijn.

Sowieso is het 'raden' van wachtwoorden tegenwoordig meer het kraken van wachtwoorden. En kraken begint bij het te pakken krijgen van de wachtwoordhashes (waarvoor je superadmin-toegang nodig hebt), waarna je een brute-force of automatisch woordenboekprogramma gebruikt om de hashes om te zetten in hun equivalent in tekst. Of, als je echt van deze tijd bent, ga je helemaal niet meer raden of kraken. In plaats daarvan gebruiken aanvallers de hashes, zonder ze te converteren, om zich aan te melden bij andere computers.

2. Cross-platform hacken

Een van de meest tenenkrommende momenten uit de wereldgeschiedenis deed zich voor in 1996, toen Independence Day uitkwam. Het personage van Jeff Goldblum schrijft daarin een computervirus dat hij loslaat op de computers van het moederschip van de buitenaardse wezens, waarmee hij de schilden van hun schip neerhaalt en wat uiteindelijk leidt tot hun ondergang.

Toen ik die scene voor het eerst zag vroeg ik me al af: 'Goh, zou hij Cobol of C++ hebben gebruikt?' Het is ronduit belachelijk om te denken dat een buitenaards ras computersystemen zou kunnen gebruiken die raad weten met onze programma's. Hun systemen zouden niet eens dezelfde karakters gebruiken als die van ons, laat staan dezelfde ingebouwde instructies op hun CPU's. In het echte leven heeft de meeste malware al moeite met andere versies van hetzelfde besturingssysteem en ze draaien zeker niet op verschillende besturingssystemen of platformen.

Dit is pas een venijnig virus!

Ik heb films gezien waarin een hacker op een Unix-computer code schreef voor een Microsoft Windows-slachtoffer. Dat is wel mogelijk, maar in 99 procent van de gevallen zou het verloren moeite zijn. Een echte schrijver van malware tikt zijn code op hetzelfde platform als dat van het slachtoffer.

3. Alle systemen zijn met elkaar verbonden

Nog zo'n ongelooflijk onrealistisch scenario: één stukje malware of commando dat tientallen aparte systemen tegelijk aantast. De kwelgeest van Sandra Bullock in The Net uit 1995 maakt dit punt wel heel erg duidelijk. Het hele online leven van het personage van Bullock wordt uitgewist (haar hypotheek, haar rijbewijs, haar creditcards, alles is verdwenen).

En het mooie ervan? Haar tegenspeler doet dat allemaal met een paar commando's! Hij wist daarmee zelfs de paper trail en de backups, en zelfs het geheugen van iedereen die haar kent.

En dat is belachelijk op zoveel niveaus. In ieder geval overschat de film schromelijk hoe verbonden alle systemen zijn. Moeiteloos worden tientallen systemen die niks met elkaar te maken hebben benaderd en gemanipuleerd. Terwijl je in het echte leven geen enkele omgeving zult vinden waarin zulke systemen zo goed met elkaar kunnen praten.

Ga maar eens kijken bij een willekeurige echte organisatie - een overheid, een bedrijf, een bank, een ziekenhuis. Overal ga je een mengelmoes van systemen vinden waarvan IT maar al te graag zou willen dat ze goed met elkaar konden communiceren.

In het echte leven vergt het voor een bedrijf maanden om het hele spoor van een enkele entiteit uit te wissen, en dan zijn het tenminste nog hun eigen systemen, waarvan ze de wachtwoorden hebben en waarvan ze weten hoe ze werken. Als de slechterik echt kon wat hij lijkt te doen in 'The Net', dan had hij miljoenen kunnen verdienen in het bedrijfsleven. Hij zou een data-god zijn!

In The Net krijgt een snode organisatie via het supergeheime systeem toegang tot alle gegevens die ze maar willen.

4. Alle info direct op je scherm

Als er informatie nodig is, dan tikt de 'computer nerd' een enkel commando in en komen de antwoorden hem vervolgens binnen een paar seconden aanwaaien. Dit lijkt minstens een paar keer per week te gebeuren in allerlei crimi's

De hoofdpersoon vraagt bijvoorbeeld iets als 'Waar gebruikt de slechterik op dit moment een geldautomaat?' En tadaa, het precieze adres verschijnt op het scherm. Of hij vraagt: 'Hoeveel moorden werden er gepleegd in Wijk C met een mes door een gast in een roze korte broek?' Voila, het antwoord is 12.

Vergelijk dit met het bevragen van je eigen log management-systeem. 'Hoe vaak heeft Peter ingelogd vandaag?' Het kan goed zijn dat je drie minuten moet wachten, en dan nog weet je niet zeker of het antwoord wel juist is.

Garcia in de serie Criminal Minds vindt meestal de obscuurste informatie altijd met een paar tikken op het toetsenbord. Voor de verandering past ze hier een stukje social engineering toe om informatie te ontdekken.

5. Elk hackprogramma is de natte droom van de hacker

In vrijwel elke hackerfilm of serie worden prachtige speciaal door de hacker zelf gemaakte programma's gebruikt met een fantastische grafische interface, die perfect zijn voor wat de hacker ook maar aan het doen is. In het echte leven zijn vrijwel alle programma's die hackers gebruiken gemaakt door iemand anders, worden ze gebruikt door miljoenen andere hackers en hebben ze een waardeloze grafische interface.

Op de laatste pagina: Mr. Robot.

Je krijgt een command line interface en een hoeveelheid commando's die een onnatuurlijke hoeveelheid menselijk geheugen vergen om te onthouden. Bovendien zijn de commando's vaak zo lang dat ze niet eens op een regel passen.

Over het algemeen heb je sowieso niet de meest up-to-date programma's nodig. De succesvolste hacks maken gebruik van kwetsbaarheden en exploits die al jaren oud zijn. Toen ik ooit een full-time penetratietester was, brak ik maar zelden in via een gloednieuwe kwetsbaarheid. Meestal waren het fouten die al 5 tot 10 jaar in het systeem zaten en gewoon nooit goed waren gepatcht.

Maar gelukkig slaat één serie de spijker op zijn kop

Het is altijd direct te zien als de makers van een film of serie moeite doen om hackers goed neer te zetten. Maar één serie steekt er met kop en schouders bovenuit: Mr. Robot. Toegegeven, de hoofdpersoon is weer een geniale hacker die inderdaad vaak direct succes heeft, maar in ieder geval is elk commando of programma ook een echt commando of programma. Wat hij doet zou ook echt kunnen gebeuren, als je het tenminste van zijn Hollywood glinsterlaagje ontdoet.

Ik herinner me dat ik echt opgetogen was over alle realiteit toen ik de eerste paar afleveringen zag. Het bewees dat Hollywood echt hackerdrama kan maken, met alle echte hacker-commando's en tools. En dat was niet alles: de serie werd ook nog een groot succes.

Ik hoop dan ook dat anderen het voorbeeld van Mr. Robot zullen volgen. Maar ik reken er niet al te veel op. Want de realiteit van het hacken vergt toch altijd meer geduld van mensen dan ze bereid zijn op te brengen.

De onverwacht treffende parodie Mr. Brobot: over kerstboomcomplotten en een overcomplexe interactie met Netflix .