Toen ik op de middelbare school zat – ik was veertien, vijftien jaar – en het me niet lukte om in te loggen op de schoolcomputer, kreeg ik van mijn leraar de inloggegevens van het administratoraccount. Ik dacht: misschien kan ik daar nog wel meer mee. Ik ging een beetje rondkijken en kwam erachter dat die gegevens op elke computer op het netwerk werkten. Ik was benieuwd of ik ook in een gebruikersaccount kon komen.

Rond die tijd raakte ik ook bevriend met iemand die veel meer wist over coderen dan ik. Hij had de IP-adressen van de beveiligingscamera’s van de school gevonden, en uitgevonden hoe hij ze kon besturen met een programma dat NetVu Observer heette. Het was niet per se legaal, maar wel erg geinig.

We waren nog steeds aan het uitzoeken hoe we een gebruikersnaam en een wachtwoord van het netwerk konden krijgen. Mijn vriend en ik positioneerden de camera’s op zo’n manier dat we konden zien wanneer de leraar in en uit haar kamer liep. Zo kwamen we erachter dat ze vlak voor het einde van de schooldag weg was. Ze had niet uitgelogd en we hadden toegang tot het systeem.

We installeerden een keylogger op haar computer, die ons elk half uur mailde wat ze had getypt. Zo kwamen we achter haar gebruikersnaam en wachtwoord. En konden we onze rapportcijfers veranderen.

In eerste instantie veranderden we alleen wat cijfers van vrienden die het moeilijk hadden. We waren wel voorzichtig: de cijfers moesten niet ineens veel hoger zijn, want dat zou opvallen. Dat soort risico’s namen we niet, tot ik op een dag zat te lunchen met een vriend die een laag cijfer voor muziek had, en daar verdrietig om was. Geen idee hoe hij dat voor elkaar had gekregen, maar goed. We veranderden zijn 1 in een 8. Gelukkig begreep de desbetreffende docent geen bal van computers, dus we kwamen ermee weg.

Later bedachten we dat er ook best wat geld mee konden verdienen. We vroegen aan vrienden om eens rond te vragen of iemand nog een iets hoger cijfer nodig had, en bereid was daar twintig piek voor te betalen. Ik denk dat we in het eerste jaar iets van vijfhonderd euro hebben verdiend. We hadden best meer kunnen vragen, maar we wilden mensen niet afzetten, en bovendien konden mijn ouders op mijn bankrekening kijken en ik had geen zin in lastige vragen.

Eén keer heb ik mijn eigen cijfer veranderd. In het laatste jaar, voor het laatste wiskunde-examen. Ik had niet geleerd en veranderde mijn 6 in een 7.

Mijn vriend bleef de computers in de gaten houden en vond de computer van de systeembeheerder. De computer bevond zich op een andere school, en we realiseerden ons dat alle scholen in de buurt op hetzelfde netwerk zaten. We kwamen erachter dat deze systeembeheerder het administratoraccount gebruikte voor al zijn werk, wat op zichzelf al een behoorlijk veiligheidsrisico was. Hij had een programma op zijn computer waarmee je alle computers op het netwerk kon updaten. Het kwam erop neer dat we zo’n beetje alles konden doen wat me waar wilden. We konden zelfs overal de verwarming hoger of lager zetten.

Een keer probeerde ik op afstand in te loggen op het netwerk. Het was drie uur ’s nachts en ik had niet verwacht dat er iemand anders online zou zijn. Toch stond er dat er nog iemand was ingelogd. Ik kreeg de vraag of ik diegene eruit wilde kicken. Ik dacht dat het mijn vriend was, maar het bleek de systeembeheerder te zijn. Hij logde mij uit en toen ik de volgende dag op school kwam, werden alle beveiligingscamera’s vervangen.

Ik denk dat veel scholen in het begin niet veel aandacht schonken aan beveiliging omdat ze dachten dat niemand de dingen zou uithalen die wij deden. Systeembeheerders onderschatten waar studenten allemaal toe in staat zijn.

Er zullen altijd gaten in de beveiliging zitten en mogelijkheden om een systeem uit te buiten. Ik denk dat echt veel mensen valsspelen. Maar goed, als die bij hun vervolgopleiding niks blijken te kunnen, zullen ze daar spijt van krijgen. Ik heb overwogen om op de universiteit ook vals te spelen, maar ik denk dat er uiteindelijk meer nadelen dan voordelen aan zitten.