Achtergrondartikel


Capture the Flag tijdens NCSC One

One-Awesome-CTF indeed

In een donkere achterafzaal van het World Forum in Den Haag staan tachtig laptops klaar. Mannen in zwarte T-shirts lopen driftig rond met dozen en kabels. Nog een uur te gaan en dan start de One-CTF, oftewel de Capture the Flag tijdens de NCSC One Conference.

Door Chris van ’t Hof

Ik word hartelijk ontvangen door Kas Clark van het NCSC. Zijn collega’s hebben de challenges en software ontwikkeld. Ik vraag hem hoe de teams worden gevormd. “We hebben twintig teams van elk vier deelnemers. Ze weten vooraf niet met wie ze gaan samenwerken. Wij delen ze in, zodat we een mooie mix van skills levels hebben en iedereen van elkaar kan leren.”

Voorin de zaal komen alle netwerkkabels samen in een soort regieruimte van schermen, stapels apparatuur en nog meer mannen in zwarte shirts. Elk heeft op de rug een code van 32 tekens – net als de vlaggen die gevangen moeten worden. Vlak voor de grote tafel staat een klein mysterieus kastje, met een printplaatje erop en eronder een oude monitor met ruis.

Achter de regietafel staan medewerkers van het Security Operations Center van de Belastingdienst. Zij blijken de hardware te hebben geleverd, inclusief twintig laptops voor deelnemers die er geen bij zich hebben. “Buiten gebruik gestelde laptops, maar uiteraard wel met Kali Linux erop. Ze kunnen standaard technieken gebruiken als Strings, Wireshark en Grep, geen speciale tooling of zo.”

Dit evenement is voor deze ambtenaren een mooie gelegenheid om te laten zien dat zij security niet alleen serieus nemen maar ook wel in zijn voor fun. En wie weet, wil een van de deelnemers hierna wel bij hen komen werken.

Ad Melkert
De zaal stroomt vol. Ik tel 72 deelnemers: 64 mannen en 8 vrouwen. Ik zie ook bekenden voorbijkomen: van andere cybersecuritycongressen, BNH’ers (Bekende Nederlandse Hackers van tv) en uit mijn boek Helpende Hackers.

Aangekomen bij hun tafels, stellen de deelnemers zich aan elkaar voor. Eerste opdracht: bedenk een naam voor je team, die begint met de letter van je tafel. Tafel A noemt zich ‘ateam’. Ik zal de hackerscode respecteren en geen persoonlijke namen noemen, alleen de namen noemen van hun team. Met uitzondering van een deelnemer die toch wel te opmerkelijk is om niet te noemen: oud-politicus Ad Melkert.


“Game rulez and hints”:

  • If you solve a challenge, you earn points. Difficult challenges are worth more points;
  • Piece of advice: if you’re not familiar with CTF challenges, start with the easy ones;
  • The flag is in the format OneCTF{example-flag}, once you find this flag you have solved that challenge;
  • Team with the most points wins. In case of a tie, the first team to score the most points wins.
  • Hints may be released during the game. If so, they will be announced.
  • No denial of service or performance-hogging attacks.
  • Do not attack other teams.
  • Do not change anything in the CTF infrastructure.
  • No brute force attacks necessary: you won’t have to crack any passwords or brute force any directories;
  • No nMapping on the game servers, all the relevant ports are provided to you;
  • The RECON challenges involve external/public websites. Do NOT attack these sites!
  • Violations are punished.

De klok start
Op het grote scherm verschijnen de ‘Game rulez and hints”. Dan volgt de opdracht: “We have received some intelligence reports regarding a hacktivist group called the Cyber resistance Liberation Front. They want to destroy the internet by hacking IoT-devices. You are a team of experts assembled from across the world to prevent them. The attack will happen in 2 hours and you have to stop them!” De teams krijgen een wachtwoord en een url. Onderaan de slide staat: “Yes, we know it is a self-signed certificate. We ran out of budget : (“

We kunnen beginnen. De klok start: slechts twee uur te gaan. Iedereen duikt in zijn of haar laptop. Ik zie sommigen Googlen op ‘Admin’ en ‘Log in’. Anderen typen van alles achter url’s, op zoek naar verborgen directory’s. Uit de speakers klinkt een happyhardcoreversie van ‘Knocking on Heavens Door’. Sommigen spreken me aan: “Chris, heb je nog een verlengsnoer voor me?” Of: “Is dit de directory?”

Dan realiseer ik me dat ik ook een zwart T-shirt aan heb en ze blijkbaar denken dat ik van de organisatie ben. Ik neem daarom plaats onder het grote scherm tussen team ‘Sharp’ en ‘Teem teeeeet’ aan de andere kant van de zaal en kijk wat in het rond. Eerlijk gezegd heb ik geen flauw idee wat ik hier kan verwachten.

Grote jongens
Gelukkig word ik snel vergezeld door Pieter Jansen, een ervaren CTF’er die vandaag niet meespeelt en ook even komt kijken. “Ziet er goed uit”, zegt hij. Enkele van de grote jongens doen ook mee. Er zijn er zelfs een paar Eindbazen.” Dit is de naam van het roemruchte team dat veel internationale CTF’s won, zoals we volgens hem kunnen zien op ctftime.org. “We doen het goed he?”, probeer ik, “de jaarlijkse Cyberlympics worden steevast gewonnen door Nederland, toch?” “Ja: hack.ERS, al vijf jaar eerste, gevolgd door veelal andere Nederlandse teams.”

Volgens hem is dat historisch zo is gegroeid: “In de jaren ’80 waren we al bezig met telefoonhacking. Vervolgens waren we het eerste land buiten de VS met internet. Het Amsterdamse internetcafé Freeworld was toen de plek van waaruit we de hele wereld hackten. Toen de Cyberlympics begonnen, waren wij er klaar voor. Maar ja, veel van die gasten van toen zijn nu vader geworden en dan zie je ze wat minder bij de internationale events. Nu is Polen heel erg in opkomst.”

Yes!
Op het grote scherm begint het scorebord te ratelen. Team Quantum Crypto neemt al snel de leiding, nauw gevolgd door Teem Teeeeet. Het ateam met Ad Melkert staat verrassend derde. Ik zie de oude partijleider wat onwennig naar zijn scherm staren en druk aantekeningen maken in een schriftje. Naast hem zit iemand onafgebroken in zijn oor te fluisteren.

Hun derde plaats wordt echter al overgenomen door team Noname, waarvan ik er enkelen herken als winnaars van het hackevent Game of Toons. Zij hadden ‘The Most Dangerous Hack’. Bij Teem Teeeet zitten er ook twee. Hun team had toen de prijs voor ‘The Weirdest Hack’ gewonnen. Een van hen kijkt argwanend naar de overkant, waar de leden van team Quantum Crypto opvallend stil naar hun scherm zitten te staren. Hij zegt: “Die gasten houden iets achter, ik voel het.”

Dat klopt. Een van de Quantumjongens gaat ineens rechtop zitten en smoort verkrampt zijn gejuich: “Yes!”. Het is een van de Eindbazen. Op het scorebord schiet zijn team plots met 400 punten omhoog. Hij heeft de challenge ‘Ancient Protocols’ opgelost. Ik loop naar de regietafel om te informeren wat er is gebeurd. Karl Lovink, Hoofd van het SOC, wijst me op het mysterieuze doosje vooraan. Een van de begeleiders fluistert samenzwerend: “Ze hadden het ook kunnen weten als ze deze aarddraad hadden aangesloten. Maar ja, wie komt nou op dat idee.”

Hangende schouders
De verleiding is groot deze onthulling te delen, want als ik terugwandel tussen de laptops door hoor ik een bekende directeur van een cybersecuritybedrijf wanhopig uitslaan: “Ik heb een enorme database gedownload en kan er niks mee!” Een van de BNH’ers zit met hangende schouders. Zijn team staat helemaal onderaan.

Maar, ze krijgen hulp. Iemand van het NCSC gaat langs de laagscorende teams met adviezen. “Het moet wel leuk blijven”, verzekert hij me. Het scorebord meldt: “Hints just been added.” Een vrouw van de politie zwaait vrolijk vanachter haar laptop naar me en roept: “Dit is echt heel leuk, ook al snap ik er niks van”. Gelukkig, ik ben niet de enige…

De spanning stijgt
Teem Teeeeet stoomt ondertussen met het nodige kabaal door naar een score van 1,286 punten. Nu staan zij op nummer 1. Met nog maar een kwartier te gaan! De spanning neemt toe en de DJ blaast nog wat vette hiphop uit de speakers. Ook Team Quantum Crypto haalt de 1,286 punten. Als we nog maar vijf minuten te gaan hebben, start een aftellende klok en klinkt het onheilspellende nummer ‘Tubular Bells’ van Mike Oldfield. De score blijft gelijk. Krijgen we een gelijkspel?

NCSC-directeur Hans de Vries is inmiddels gearriveerd en gaat klaarstaan met de prijzen: voor elk teamlid een NetAid Kit en uiteraard een lousy T-shirt. Ik vraag hem waarom NCSC dit organiseert. “Dit is een manier om van elkaar te leren. De ervaren hackers zetten de beginnelingen aan het werk om eenvoudige challenges van vijftig punten op te lossen, terwijl ze zelf beziggaan met een challenge van een paar honderd.” Maar wat nu als het gelijkspel blijft? Dan wint het team dat als eerste die score haalde. Hans informeert welk team dat is.

En de winnaar is…
Teem Teeeeet dus. Een van de leden vertelt me: “Leek ons zo gaaf om Hans heel hard ‘tiet’ te laten roepen, vandaar die naam.” Nu moeten ze met hem op de foto, wat ze zichtbaar minder leuk vinden. De BNH’ers zouden daar minder moeite mee hebben gehad, maar lijken nu vooral het slagveld zo snel mogelijk te willen verlaten. Een van de tv-sterren, die zesde werd, vertelt teleurgesteld: “Ik was eerst vooral bezig mijn teamleden aan het werk te zetten. Op een gegeven moment ben ik maar voor mezelf begonnen, maar ja, toen was het alweer bijna voorbij.”

Terwijl de zaal leegloopt, geeft de eigenaar van het doosje ‘Ancient Protocols’ nog een korte uitleg. Iets met voltageniveaus die je online kon manipuleren om code te injecteren. Hij raakt een van de contactpunten op het printplaatje aan met de aarddraad. Op de oude monitor verschijnt: “ONECTF {01101001}”. Zo kan het dus ook. Je moet er maar net op komen.

Chris van 't Hof (@Cvthof) is internetsocioloog, schrijver en presentator.

Dit artikel is eerder verschenen in IB Magazine van het Platform voor InformatieBeveiliging, editie 4, jaargang 2017.

Verder lezen?

Log in en lees verder of maak hier uw persoonlijk profiel aan en ontvang als eerste het laatste securitynieuws. Speciaal voor u geselecteerd!

Dit veld is verplicht
Vul een geldige e-mailadres in
Dit veld is verplicht