logo Denhack 5 juni 2018 | Den Haag

Hét security-event van Nederland

Team d0pp3r wint Capture the Flag tijdens D3NH4CK

“Succes, try harder!” Met die woorden gaf Michael Tong Sang, Senior ICT Security Consultant bij Secured By Design, het officiële startschot voor de Capture the Flag (CTF)-wedstrijd tijdens D3NH4CK. Elf teams streden op 5 juni in Babylon Hotel Den Haag om de overwinning. Team d0pp3r ging er met de zege vandoor.

Bij deze CTF-wedstrijd kregen hackers toegang tot een realistisch netwerk met verschillende kwetsbare systemen. Doel was om die systemen te hacken en vervolgens vlaggen te veroveren. Tijdens zo’n wedstrijd kunnen ethische hackers spelenderwijs hun technische vaardigheden aanscherpen, nieuwe kennis opdoen en zich uiteraard meten met andere hackers. DearBytes organiseerde de CTF-challenge samen met Secured by Design.

Vooraf verzorgde Michael een presentatie over het ontwikkelen van securitylabs en CTF-challenges. Een challenge moet aan allerlei eisen voldoen. Zo is het belangrijk dat de opdrachten aansluiten op verschillende kennisniveaus en dat de CTF realistisch is, bijvoorbeeld door een (fictieve) organisatie te bedenken die de deelnemers gaan hacken. Uiteraard moet de wedstrijd ook leuk zijn, dus zonder onnodige complexiteit. Elementen als humor en een scorebord vergroten de ‘fun factor’.

“Realistische bedrijfsomgevingen met ‘user interaction’ en voldoende challenges maken de CTF onweerstaanbaar voor een IT’er”, zei Michael. Hij benadrukt dat zo’n wedstrijd zeker niet alleen nuttig is voor pentesters en ethische hackers. “Iedereen met een IT-functie op zijn businesscard moet de securitybasics kennen.”

De leukste verdieping van D3NH4CK

Vanaf 12.00 uur ’s middags mochten de teams zich uitleven op de derde verdieping van Babylon Hotel, waar ook een Make & Break-tafel was ingericht. Hier konden bezoekers apparaten zelfs uit elkaar halen om kwetsbaarheden te ontdekken. Op dezelfde verdieping – volgens Tong Sang de leukste van D3NH4CK – speelde DearBytes-consultant Nandenie Moenielal de hele dag door The Boardroomgame. De deelnemers aan de CTF-challenge hadden echter maar oog voor één ding: hun eigen laptops.

In opperste concentratie probeerden de teams van maximaal vijf personen zoveel mogelijk punten te scoren. Nog geen half uur na de start haalde team random de eerste punten binnen, om even later alweer te worden ingehaald door team d0pp3r. Dit team zou de eerste positie niet meer uit handen geven en kwam uit op meer dan 2000 punten.

Team d0pp3r bestaat uit vier mannen, allen werkzaam bij Onvio. Na de CTF-wedstrijd spraken we kort met een van hen, Dick Snel.

Gefeliciteerd! Had je verwacht dat jullie zouden winnen?
“Nee, niet echt. We doen af en toe mee aan Capture the Flag-challenges, maar meestal worden we tweede of derde. We vinden dit type wedstrijd erg leuk, omdat je echt kunt hacken. Het is zeer nuttig om je kennis op deze manier in te zetten. Vaak leer je ook nieuwe dingen.”

Welke strategie hanteerden jullie? Hoe waren de taken verdeeld?
“Meestal kijken we in het begin hoeveel systemen er zijn en dan kiezen we er allemaal één uit. Soms loopt iemand vast, dan helpen we elkaar of wisselen we even van server. Op het laatst was er nog maar eentje over, dus stonden we met zijn allen achter dezelfde laptop.”

Wat vonden jullie de makkelijkste en de moeilijkste opdracht?
“De webapplicatie was het makkelijkste, daar zat een local file inclusion in en daarmee kon je code uitvoeren op de server. Dat kom ik in de praktijk ook regelmatig tegen. De moeilijkste was de buffer overflow. Daar kom je eigenlijk alleen mee in aanraking op dit soort wedstrijden.”

Hebben jullie vandaag nog fouten gemaakt of iets nieuws geleerd?
“Dat het toch wel heel belangrijk is om de situatie zorgvuldig te analyseren voordat je echt van start gaat. Als je direct ergens mee begint, krijg je al heel snel tunnelvisie. Dat is wel een les voor de volgende keer: eerst goed nadenken en dan pas de diepte ingaan.”

DearBytes en Secured by Design feliciteren team d0pp3r met de overwinning. Maar meedoen is toch echt belangrijker dan winnen, dus willen we alle deelnemers bedanken voor hun komst naar D3NH4CK. Hopelijk tot volgend jaar!

De CTF-challenge was slechts één onderdeel van D3NH4CK. Check deze blog voor meer hoogtepunten.