Ethisch hack-event HALON: licht laten schijnen op de zwarte gaten in je netwerk

Een hele dag geoorloofd hacken in de netwerken van een aantal universiteiten. Wie wil dat niet? 46 studenten en medewerkers in onderwijs en onderzoek deden mee aan HALON, het eerste ethische hack-event in de sector – gehost door TU Delft en georganiseerd door SURF. En het resultaat mocht er zijn: een leuke, leerzame dag én 49 gevonden kwetsbaarheden. Een verslag.

Ethisch hacken

De zon schijnt uitbundig als ik op mijn OV-fiets op weg ben naar het Pulse-gebouw van de TU Delft. Ik rijd over de campus, tussen studenten die ook hun weg zoeken, richting bibliotheek of collegezaal. Niets verraadt het geweld dat vandaag gaat plaatsvinden. Geen fysiek geweld gelukkig: er gaat ethisch gehackt worden.

Om 10 uur start namelijk HALON, het nieuwe ‘hack-event’ van SURF en SURFcert. “Eigenlijk mogen we het geen hacken noemen”, zegt Charlie van Genuchten, projectleider. “Tijdens HALON gaan deelnemers op zoek naar kwetsbaarheden in een aantal netwerken van instellingen, die daaraan meewerken. Maar uiteraard gaan ze geen misbruik maken van die kwetsbaarheden. Ethisch hacken dus eigenlijk”.

Systemen veiliger maken

Wim Biemolt, is mede-organisator en lid van SURFcert, het incident response team van SURF. Hij vult aan: “Een aantal maanden terug zag ik een berichtje langskomen in SCIRT, de SURF Community van Incident Response Teams. Iemand kondigde daarin aan een ethisch hack-event te organiseren voor zijn eigen instelling. Dat inspireerde mij: het zou toch mooi zijn als we dat voor het hele onderwijs en onderzoek kunnen organiseren, dacht ik. Zo is HALON ontstaan. Het mes snijdt aan twee kanten: we bieden studenten en medewerkers de kans om ervaring op te doen met ethisch hacken, of te laten zien wat ze al kunnen op dat vlak. Aan de andere kant krijgen onze aangesloten instellingen de kans om de veiligheid van hun systemen te testen, en veiliger te maken.”

Overzicht van de zaal waar HALON 2022 plaatsvond

Stoere doelwitten

Die instellingen, dat zijn vandaag de doelwitten van de ethische hackers. Vijf instellingen waren zo stoer om zich vrijwillig beschikbaar te stellen als ‘slachtoffer’ voor HALON: TU Delft, Universiteit Utrecht, Universiteit van Amsterdam & Hogeschool van Amsterdam, Wageningen Universiteit en SURF. Zij hebben een aantal open IP-ranges en domeinen opgegeven die doorzocht mogen worden op kwetsbaarheden. Met als doel om “licht te laten schijnen op de zwarte gaten in de deelnemende netwerken”, zoals iemand het vandaag mooi verwoordde.

Creativiteit van menselijke hackers

Remon Klein Tank is corporate information security officer (CISO) bij Wageningen Universiteit, maar ook lid van SURFcert. “Vanuit de WUR vinden we het belangrijk om mee te doen aan HALON. Uiteraard worden onze systemen regelmatig goed gescand, maar daarmee vinden we nooit alle kwetsbaarheden. Met HALON heb je een heleboel hackers bij elkaar die allemaal op een andere manier, met hun eigen creativiteit op zoek gaan naar kwetsbaarheden. Door dat out-of-the-box denken zijn menselijke hackers een mooie aanvulling op automatische scans”.

Valideren

Rond het middaguur zijn er al een paar kwetsbaarheden gevonden, maar het is nog wel wat rustig bij het team van Zerocopter. Zij zijn op HALON aanwezig om de kwetsbaarheden die gemeld worden, te valideren. Chantal Stekelenburg leidt het Zerocopter-team: “Als bedrijf helpen we andere bedrijven om zichzelf te beveiligen tegen criminele hackers. Onder andere door het controleren van meldingen van kwetsbaarheden (CVD reports; coordinated vulnerability disclosure): is het een echte kwetsbaarheid, en is de kwetsbaarheid niet al eerder gevonden?”

Echte kwetsbaarheden

Alleen valide kwetsbaarheden worden doorgestuurd naar de opdrachtgever. Dat doet Zerocopter vandaag ook met de gevonden kwetsbaarheden. Chantal: “Dit is geen oefening met fictieve kwetsbaarheden. De kwetsbaarheden die gevonden worden zijn echt, en die geven we dan ook door aan de deelnemende instellingen. We zien dat instellingen onze meldingen serieus nemen. Bijvoorbeeld met de kwetsbaarheid die in een server werd aangetroffen, ging de betreffende instelling direct aan de slag.”

Grasduinen

Chantal verwacht dat er na de lunch (evenals de locatie goed verzorgd door de TU Delft) nog wel meer kwetsbaarheden zullen worden gevonden. “Nu is iedereen nog met onderzoek bezig, met grasduinen in de systemen als het ware.” Manon van Keeken kan dat bevestigen. Ze werkt bij het RIVM als juniormedewerker bij het security operating centre (SOC). “We hebben nog geen kwetsbaarheden gevonden. We zijn aan het kijken welke poorten open staan, en of bekende exploits voorkomen, die in de exploits database staan. Nog geen concrete resultaten dus, maar ik vind het leuk om hiermee bezig te zijn, en samen te werken met de andere deelnemers in mijn team”.

Leren

Rodrigo Martín neemt als student deel aan HALON, en zit in het team bij Manon. “Ik doe de bachelor Computer Science aan de TU/e. Een van de docenten wees ons op HALON en aangezien ik verder wil in de security, was ik meteen geïnteresseerd. Ik ben hier vooral om te leren, want ik heb nog niet veel ervaring. Ik voer een aantal bekende checks uit en gebruik Google om verder te komen als ik bepaalde dingen tegenkom.”

Mensen enthousiast maken

“Het is heel leuk dat we zulke verschillende deelnemers hebben”, zegt Wim Biemolt. “Naast relatief onervaren studenten als Rodrigo zijn er ook IT-specialisten van instellingen aanwezig, die al vaker met dit bijltje hebben gehakt. Maar ze hebben allemaal één ding gemeen: ze zijn geïnteresseerd in security. En juist die mensen willen we enthousiast maken om binnen de onderwijs- en onderzoekswereld te gaan of te blijven werken. Want de verleidingen om in andere sectoren aan de slag te gaan zijn groot. We willen ze daarom ook bij elkaar brengen, aan community-vorming doen. Zodat securitymensen die normaal gesproken hun eigen ding doen bij hun instelling, elkaar weten te vinden en van elkaar kunnen leren. Dat vinden we belangrijk bij SURFcert.”

Prijsuitreikng van HALON 2022
Team Radboud institute of Pwning krijgt hun prijs uitgereikt.

Twee kritieke kwetsbaarheden

Bij de borrel volgt de prijsuitreiking, want er viel wel wat te winnen. Wim Biemolt maakt bekend dat er 61 kwetsbaarheden zijn gerapporteerd. 49 daarvan zijn valide bevonden, waarvan er vijf de classificatie ‘high’ hadden, en twee zelfs een ‘critical’ waren. Een mooie prestatie van alle deelnemers gezamenlijk. Daarna reikt Wim de prijzen uit, aan drie studententeams en één medewerkersteam. Er zijn prijzen voor de snelst gevonden kwetsbaarheid (team M), de meest geavanceerde kwetsbaarheid (team Lantarenpaal) en de origineelste aanpak bij het vinden van een kwetsbaarheid (team Radboud institute of Pwning. Ook team Foks-IT, dat bij de meeste verschillende netwerken kwetsbaarheden vond, krijgt een prijs. En dan is het tijd voor de welverdiende pizza als besluit van HALON.

Pilot smaakt naar meer

Deze eerste uitvoering van HALON was een pilot. Maar een pilot die duidelijk naar meer smaakt. Charlie van Genuchten: “We hebben gemerkt dat deelnemers het een leuke en leerzame dag vonden. En dat de instellingen die hun netwerk hiervoor ter beschikking stellen, er ook veel aan hebben. We hopen dan ook dat er volgende keer nog meer instellingen mee doen, liefst ook een aantal uit bijvoorbeeld hbo of mbo.”

Auteur

Reacties

Dit artikel heeft 0 reacties