Digitale vlaggenroof

 

Afbeelding via Pixabay

Klik. De deur valt achter je in het slot. Het licht flikkert. Een timer geeft aan dat je nog precies een uur hebt om een uitweg te vinden. Je kijkt eens om je heen. Je bevindt je in een compleet ingerichte kamer, of misschien wel in een laboratorium. De sfeer is raadselachtig. Ergens moet de oplossing te vinden zijn om hier weer uit te komen. Welkom in de escape room.

Heb je je wel eens voor de lol laten opsluiten? Er zijn ruim duizend escape rooms (‘ontsnappingskamers’) in Nederland. Je gaat er doorgaans met een zelf samengesteld groepje mensen heen en probeert binnen de gestelde tijd de uitgang te vinden. Daarvoor moet je allerlei puzzels oplossen; elke oplossing brengt je een stap verder. Je moet bijvoorbeeld de code van een cijferslot zien te achterhalen, waarna je een kist kunt openen die een volgende aanwijzing bevat. Of je moet een verborgen boodschap zien te vinden, misschien wel door een schilderijtje nat te maken. Escape rooms bevatten allerlei uitdagingen in verschillende moeilijkheidsgraden.

Securitytechneuten lossen ook graag puzzels op en dan heet het spelletje capture the flag – vlaggenroof in goed Nederlands. Het gaat dan niet om echte vlaggen, maar om stukjes tekst die verstopt zitten in een computerprogramma of op een website. Aan de spelers de taak om zoveel mogelijk vlaggen te veroveren. Je kunt het spel op grofweg twee manieren spelen: bij de ene variant spelen teams tegen elkaar, bij de andere tegen de organisatie. Je verdient er punten mee en degene die aan het eind van de dag de meeste punten heeft, wint.

Net als bij de escape room krijg je ook in een CTF met meerdere puzzels te maken. Bij de ene moet je een programma ontleden om te snappen wat het doet (reverse engineering), bij de andere moet je informatie op openbare bronnen raadplegen (open source intelligence, OSINT) en bij weer een andere moet je sporenonderzoek doen. Een andere overeenkomst met escape rooms is dat het geheel in een verhaaltje is ingepakt. Als je vroeger op school redactiesommen leuk vond, dan zit je al een beetje op de goede koers om aan een CTF deel te nemen.

Een paar van mijn teamgenoten hebben eerder deze week een CTF voor collega’s georganiseerd. Ik was graag een kijkje gaan nemen, maar sinds corona is het not done om je hoestend en proestend op kantoor te vertonen en daarom kan ik helaas geen sfeerverslag uit eerste hand geven. We zijn bepaald niet de enige organisatie die dergelijke dagen houdt. Maar waarom eigenlijk, vroeg ik aan de organisatoren. Meespelen in een CTF vergroot de kennis en vaardigheden van de deelnemers; dat kan iedereen zijn die met security te maken heeft en daar meer over wil leren – ook warm aanbevolen voor ontwikkelaars! Je ziet in de CTF allerlei manieren waarop iets fout kan gaan. Als je later zo’n zelfde situatie in je werk tegenkomt, dan gaat er hopelijk een lampje branden: hé, dit is gevaarlijk, het maakt ons kwetsbaar, dit moet anders! Een CTF speel je doorgaans in kleine teams, waardoor je er gratis een dosis teambuilding bij krijgt. Commerciële bedrijven organiseren ook wel CTF’s voor buitenstaanders. Dat levert publiciteit op en misschien spotten ze wel een paar talenten die ze kunnen proberen weg te kapen bij hun huidige werkgever.

Er bestaan websites waar je vingeroefeningen op dit gebied kunt doen. De site van PortSwigger geeft bij alle onderwerpen vrij laagdrempelige uitleg. Voor kinderen van 8-12 jaar is er het Nederlandstalige HackShield. Voor de goede orde: het is niet de bedoeling om kleine criminelen te kweken, maar om iedereen cyberbewust te maken. Ook escape rooms kun je trouwens thuis spelen: je koopt ze in een doosje in de speelgoedwinkel. Dan heb je weliswaar met veel minder tastbare verrassingen te maken, maar het is toch verrassend leuk. En als je zelf niet wilt spelen maar wel eens wilt zien hoe escape rooms werken, dan is het tv-programma Code van Coppens een aanrader.

 

En in de grote boze buitenwereld...

• lekte Webex gegevens over meetings.
• is de overheid boos op Cisco vanwege het Webex-lek.
• groeit de politieke vrees voor de Amerikaanse cloud.
• keren veel bedrijven de cloud alweer de rug toe (vanwege security, kosten en te hoge verwachtingen).
• lijkt Google niet eerlijk te zijn geweest over het verzamelen van gegevens.
• is een Duitse politieke partij gehackt.
• vraagt deze malware je om zelf kwaadaardige code te knippen en plakken en uit te voeren.
• pakt het kabinet desinformatie aan.
• wil PostNL phishers te slim af zijn met de anti-phishingcode.
• hoeft je tandenborstel natuurlijk niet per se aan het internet te hangen of AI te hebben.