![]() |
Afbeelding via Pixabay |
Klik.
De deur valt achter je in het slot. Het licht flikkert. Een timer geeft aan dat
je nog precies een uur hebt om een uitweg te vinden. Je kijkt eens om je heen.
Je bevindt je in een compleet ingerichte kamer, of misschien wel in een
laboratorium. De sfeer is raadselachtig. Ergens moet de oplossing te vinden
zijn om hier weer uit te komen. Welkom in de escape room.
Heb
je je wel eens voor de lol laten opsluiten? Er zijn ruim duizend escape rooms (‘ontsnappingskamers’)
in Nederland. Je gaat er doorgaans met een zelf samengesteld groepje mensen
heen en probeert binnen de gestelde tijd de uitgang te vinden. Daarvoor moet je
allerlei puzzels oplossen; elke oplossing brengt je een stap verder. Je moet
bijvoorbeeld de code van een cijferslot zien te achterhalen, waarna je een kist
kunt openen die een volgende aanwijzing bevat. Of je moet een verborgen
boodschap zien te vinden, misschien wel door een schilderijtje nat te maken.
Escape rooms bevatten allerlei uitdagingen in verschillende
moeilijkheidsgraden.
Securitytechneuten
lossen ook graag puzzels op en dan heet het spelletje capture the flag –
vlaggenroof in goed Nederlands. Het gaat dan niet om echte vlaggen, maar om
stukjes tekst die verstopt zitten in een computerprogramma of op een website.
Aan de spelers de taak om zoveel mogelijk vlaggen te veroveren. Je kunt het
spel op grofweg twee manieren spelen: bij de ene variant spelen teams tegen
elkaar, bij de andere tegen de organisatie. Je verdient er punten mee en degene
die aan het eind van de dag de meeste punten heeft, wint.
Net
als bij de escape room krijg je ook in een CTF met meerdere puzzels te maken.
Bij de ene moet je een programma ontleden om te snappen wat het doet (reverse
engineering), bij de andere moet je informatie op openbare bronnen raadplegen
(open source intelligence, OSINT) en bij weer een andere moet je
sporenonderzoek doen. Een andere overeenkomst met escape rooms is dat het
geheel in een verhaaltje is ingepakt. Als je vroeger op school redactiesommen
leuk vond, dan zit je al een beetje op de goede koers om aan een CTF deel te
nemen.
Een
paar van mijn teamgenoten hebben eerder deze week een CTF voor collega’s
georganiseerd. Ik was graag een kijkje gaan nemen, maar sinds corona is het not
done om je hoestend en proestend op kantoor te vertonen en daarom kan ik helaas
geen sfeerverslag uit eerste hand geven. We zijn bepaald niet de enige
organisatie die dergelijke dagen houdt. Maar waarom eigenlijk, vroeg ik aan de
organisatoren. Meespelen in een CTF vergroot de kennis en vaardigheden van de
deelnemers; dat kan iedereen zijn die met security te maken heeft en daar meer
over wil leren – ook warm aanbevolen voor ontwikkelaars! Je ziet in de CTF
allerlei manieren waarop iets fout kan gaan. Als je later zo’n zelfde situatie
in je werk tegenkomt, dan gaat er hopelijk een lampje branden: hé, dit is
gevaarlijk, het maakt ons kwetsbaar, dit moet anders! Een CTF speel je
doorgaans in kleine teams, waardoor je er gratis een dosis teambuilding bij
krijgt. Commerciële bedrijven organiseren ook wel CTF’s voor buitenstaanders.
Dat levert publiciteit op en misschien spotten ze wel een paar talenten die ze
kunnen proberen weg te kapen bij hun huidige werkgever.
Er
bestaan websites waar je vingeroefeningen op dit gebied kunt doen. De site van PortSwigger
geeft bij alle onderwerpen vrij laagdrempelige uitleg. Voor kinderen van 8-12
jaar is er het Nederlandstalige HackShield. Voor
de goede orde: het is niet de bedoeling om kleine criminelen te kweken, maar om
iedereen cyberbewust te maken. Ook escape rooms kun je trouwens thuis spelen:
je koopt ze in een doosje in de speelgoedwinkel. Dan heb je weliswaar met veel
minder tastbare verrassingen te maken, maar het is toch verrassend leuk. En als
je zelf niet wilt spelen maar wel eens wilt zien hoe escape rooms werken, dan
is het tv-programma Code van Coppens een aanrader.
En in de grote boze buitenwereld...
- lekte Webex gegevens over meetings.
- is de overheid boos op Cisco vanwege het Webex-lek.
- groeit de politieke vrees voor de Amerikaanse cloud.
- keren veel bedrijven de cloud alweer de rug toe (vanwege security, kosten en te hoge verwachtingen).
- lijkt Google niet eerlijk te zijn geweest over het verzamelen van gegevens.
- is een Duitse politieke partij gehackt.
- vraagt deze malware je om zelf kwaadaardige code te knippen en plakken en uit te voeren.
- pakt het kabinet desinformatie aan.
- wil PostNL phishers te slim af zijn met de anti-phishingcode.
- hoeft je tandenborstel natuurlijk niet per se aan het internet te hangen of AI te hebben.
Geen opmerkingen:
Een reactie posten