HALON 2023: de ervaringen van een student die voor het eerst ethisch hackte

Ik, als stagiaire bij SURF en onervaren hacker, heb dit jaar voor het eerst meegedaan met HALON a.k.a. Hack AL het Onderwijs in Nederland. HALON is een ethical hacker event, georganiseerd door SURF om te testen of de targets (bij SURF aangesloten instellingen die zich vrijwillig hebben aangemeld) hun beveiliging op orde hebben. De targets hebben zich aangemeld en een aantal IP-reeksen beschikbaar gesteld waarop de ethische hackers (studenten en medewerkers van alle bij SURF aangesloten instellingen) mogen aanvallen. We werkten met een responsible disclosure policy, waarbij er dus geen misbruik werd gemaakt van de gevonden kwetsbaarheden.

Het pre-event: uitleg over ethisch hacken

Voor de onervaren hackers onder ons was er een paar weken van tevoren ook nog een pre-event met wat uitleg over ethisch hacken. Het pre-event begon met een uitleg over ethiek, het juist afhandelen van kwetsbaarheden en wat basis Linux-commands. De uitleg was uitermate geschikt voor mensen die totaal niet technisch zijn. Na de lunch was er uitleg over de regels van HALON en werd de basis van het proces van een hack uitgelegd. Daarna werden er nog een aantal tools kort toegelicht die je eventueel zou kunnen gebruiken tijdens HALON.

Een divers team

Op 10 oktober was het dan zover: HALON 2023, bij Windesheim in Zwolle. Ik had me aangemeld zonder team dus ik kreeg bij binnenkomst een team toegewezen. Er waren in totaal 25 teams van 3 personen. Ik (hbo-student), mocht samenwerken met een mbo-student en een programmeur uit het werkveld. Niemand van ons team had echt ervaring met hacken. We kregen ook een leuk HALON-shirt en stickers van HALON en Zerocopter. Het is natuurlijk spannend om ineens ingedeeld te worden in een groep die je niet kent, maar gelukkig hadden we al snel een klik en konden we vrijwel direct goed met elkaar overweg.

Aan de slag: op zoek naar kwetsbaarheden

Op tafel lag een blaadje met welke targets er waren, wat de regels waren en in welke categorieën er prijzen werden uitgereikt. Er waren van elke instelling een aantal kokers waarin een blaadje zat met welke IP-reeksen we mochten aanvallen. We kregen 2 uur de tijd om ons volledig te richten op de gekozen instelling en daarna werd er een link gedeeld waar alle IP-reeksen van alle targets stonden. Vanaf dat moment mocht iedereen tot 17u alle targets aanvallen. Iedereen hackte op zijn eigen manier. Van port scanning tot SQL injection tot Cross-site-scripting aanvallen.

Als je een kwetsbaarheid had gevonden moest je een online formulier invullen op de website van Zerocopter en daarin in detail beschrijven hoe je die kwetsbaarheid hebt gevonden, hoe deze kwetsbaarheid misbruikt kan worden en waarom je denkt dat het belangrijk is om op te lossen. En daarna verifieerde de jury of het echt een kwetsbaarheid was. Er werden veel kwetsbaarheden  gerapporteerd maar ook veel afgekeurd, omdat ze bijvoorbeeld een false positive was of er niet genoeg bewijs was.

Spelregels

We moesten ons nog wel aan regels houden. We mochten alleen de gegeven IP-reeksen aanvallen. We moesten op het speciale HALON-wifinetwerk blijven, geen VPN. We mochten geen misbruik maken van de kwetsbaarheden. We mochten geen DDoS , brute force / flood based aanvallen doen. We mochten geen databases aanpassen of verwijderen en geen gebruikmaken van social engineering. En er mocht geen vertrouwelijke informatie in je Zerocopter-rapport staan.

Ook waren er een aantal dingen die niet meetelden als je ze rapporteerde: missing cookie-flags on non-sensitive cookies, insecure SSL/TLS ciphers en missing HTTP security headers (tenzij je kon uitleggen waarom het een groot probleem is), mass creation of accounts, files and folders, and client-side /self-inflicted XSS vulnerabilities.

Onze aanpak: samenwerking werkt beter

Mijn team was begonnen met het aanvallen van een universiteit. In eerste instantie wilden mijn teamgenoten beginnen met het gebruiken van een paar tools op Kali Linux zoals werd uitgelegd tijdens het pre-event, maar ik herinnerde me dat ik op de middelbare school wel eens heb gespeeld met een portscanner. Dus ik gebruikte vooral de portscanner en mijn teamleden zagen dat dat vrij makkelijk werkte dus besloten ze dat ook te doen.

Na een tijdje merkten we dat we het beste de taken konden verdelen: ik ging scannen/zoeken en wanneer ik wat vond ging de mbo-student zich verdiepen in de mogelijke kwetsbaarheid die ik had gevonden en vervolgens ging de programmeur uit het werkveld de Zerocopter-rapporten uitwerken. Dit werkte een heel stuk efficiënter voor ons ten opzichte van allemaal tegelijk zoeken, want zo hebben we allemaal onze energie gestopt in de dingen waar we het beste in waren.

Na de lunch zijn we nog een uurtje blijven hangen bij deze universiteit, maar daarna hebben we ons gericht op verschillende andere targets. Jammer genoeg voor ons -maar gelukkig voor de instellingen- hadden we bij deze nieuwe targets veel meer moeite om kwetsbaarheden te vinden.

Verschillende prijzen

Aan het einde van de dag was er een prijsuitreiking waarin bekend werd gemaakt welke teams hebben gewonnen in de volgende categorieën: de eerste succesvol geverifieerde kwetsbaarheid, de meest geavanceerde geverifieerde kwetsbaarheid, de meest creatieve geverifieerde kwetsbaarheid en de meeste gevonden kwetsbaarheden. Ook werd er verteld hoeveel kwetsbaarheden we met z’n allen (75 mensen, 25 teams) hebben gevonden, namelijk 417 meldingen waarvan er 71 werden geaccepteerd door de jury.

Een leuke dag en veel geleerd!

Mijn team heeft vooral gebruik gemaakt van portscanning en we hebben wel een paar kwetsbaarheden gevonden, helaas werd het grootste deel daarvan afgekeurd door de jury. We hebben geen prijzen gewonnen, maar we hebben het wel heel erg leuk gehad met elkaar. Ook heb ik geleerd dat je als (ethische) hacker zoveel mogelijk gebruik moet maken van verschillende technieken, dat je met samenwerken vaak veel verder komt dan alleen, en dat een kwetsbaarheid duidelijk melden in een Zerocopter-report meer tijd kostte dan ik had verwacht. Hoe dan ook, ik zou dit event zeker aanraden voor zowel beginners als experts. En je houdt er ook nog een mooi HALON-shirt en HALON-stickers aan over.

Nog een leuk feitje als afsluiter: Ik ga samen met een teamgenoot van de HALON (en een paar anderen) binnenkort meedoen met het Capture-the-Flag event van SURFcert .

Auteur

Reacties

Dit artikel heeft 1 reactie

Reactie van Rosanne Pouw

Leuk om te lezen dat jullie team heel bewust een rolverdeling en strategie heeft toegepast. Volgend jaar weer?