“Succes, try harder!”
Met die woorden gaf Michael Tong Sang het officiële startschot voor de Capture the Flag (CTF)-wedstrijd tijdens de securityconferentie D3NH4CK.
Elf teams streden op 5 juni in Babylon Hotel Den Haag om de overwinning. Team d0pp3r ging er met de zege vandoor. Bij deze CTF-wedstrijd kregen hackers toegang tot een realistisch netwerk met verschillende kwetsbare systemen. Doel was om die systemen te hacken en vervolgens vlaggen te veroveren. Tijdens zo’n wedstrijd kunnen ethische hackers spelenderwijs hun technische vaardigheden aanscherpen, nieuwe kennis opdoen en zich uiteraard meten met andere hackers.
DearBytes organiseerde de CTF-challenge samen met Secured by Design, waar Michael werkt als Senior ICT Security Consultant. Vooraf verzorgde Michael een presentatie over het ontwikkelen van securitylabs en CTF-challenges. Een challenge moet volgens hem aan allerlei eisen voldoen. Zo is het belangrijk dat de opdrachten aansluiten op verschillende kennisniveaus en dat de CTF realistisch is, bijvoorbeeld door een (fictieve) organisatie te bedenken die de deelnemers gaan hacken. Uiteraard moet de wedstrijd ook leuk zijn, dus zonder onnodige complexiteit. Elementen als humor en een scorebord vergroten de ‘fun factor’. De leukste verdieping van D3NH4CK.
Vanaf 12.00 uur ’s middags mochten de teams zich uitleven op de derde verdieping van Babylon Hotel, waar ook een Make & Break-tafel was ingericht. Hier konden bezoekers apparaten zelfs uit elkaar halen om kwetsbaarheden te ontdekken. Op dezelfde verdieping – volgens Tong Sang de leukste van D3NH4CK – speelde DearBytes-consultant Nandenie Moenielal de hele dag door The Boardroomgame.
De deelnemers aan de CTF-challenge hadden echter maar oog voor één ding: hun eigen laptops. In opperste concentratie probeerden de teams van maximaal vijf personen zoveel mogelijk punten te scoren. Nog geen half uur na de start haalde team random de eerste punten binnen, om even later alweer te worden ingehaald door team d0pp3r. Dit team zou de eerste positie niet meer uit handen geven en kwam uit op meer dan 2000 punten. De strijd om de tweede en derde plek werd nog heel spannend. Uiteindelijk eindigde team random als tweede met 660 punten, net voor team dotelite (590 punten).
Na de CTF-wedstrijd spraken we kort met Dick Snel, een van de leden van team d0pp3r. Gefeliciteerd!
Had je verwacht dat jullie zouden winnen?
“Nee, niet echt. We doen af en toe mee aan Capture the Flag-challenges, maar meestal worden we tweede of derde. We vinden dit type wedstrijd erg leuk, omdat je echt kunt hacken. Het is zeer nuttig om je kennis op deze manier in te zetten. Vaak leer je ook nieuwe dingen.”
Welke strategie hanteerden jullie? Hoe waren de taken verdeeld?
“Meestal kijken we in het begin hoeveel systemen er zijn en dan kiezen we er allemaal één uit. Soms loopt iemand vast, dan helpen we elkaar of wisselen we even van server. Op het laatst was er nog maar eentje
over, dus stonden we met zijn allen achter dezelfde laptop.”
Wat vonden jullie de makkelijkste en de moeilijkste opdracht?
“De webapplicatie was het makkelijkste, daar zat een local file inclusion in en daarmee kon je code uitvoeren op de server. Dat kom ik in de praktijk ook regelmatig tegen. De moeilijkste was de buffer overflow. Daar kom je eigenlijk alleen mee in aanraking op dit soort wedstrijden.”
Hebben jullie vandaag nog fouten gemaakt of iets nieuws geleerd?
“Dat het toch wel heel belangrijk is om de situatie zorgvuldig te analyseren voordat je echt van start gaat. Als je direct ergens mee begint, krijg je al heel snel tunnelvisie. Dat is wel een les voor de volgende keer: eerst goed nadenken en dan pas de diepte ingaan.”
DearBytes feliciteert team d0pp3r met de overwinning. Maar meedoen is toch echt belangrijker dan winnen, dus willen we alle deelnemers bedanken voor hun komst naar D3NH4CK. Hopelijk tot volgend jaar! De CTF-challenge was slechts één onderdeel van D3NH4CK.