Deelname aan The Hague Hack ’19
30 september heeft Gemeente Den Haag in samenwerking met Cybersprint het jaarlijkse “Hack Den Haag” georganiseerd, met Zerocopter als platform en deel van de jury. Dit jaar was het groter aangepakt met 100 ethische hackers, waarvan 60 professionals, de rest studenten. Op dit event heb ik voor RedTeam een eerste plaats voor meest innovatieve hack weten te behalen. Sindsdien krijg ik daar soms vragen over, vandaar dat het tijd is voor een algemene beschouwing van het hele event, aangevuld met tips om als hacker het beste uit een dergelijk evenement te halen.

De organisatie
Ten eerste respect voor gemeente Den Haag, die wederom actief zijn nek uitsteekt en voorbeeldig risico durft te nemen door van een zwakte een kracht te maken. Leest u mee, overheden en andere organisaties? Daarnaast was het hele event keurig georganiseerd van A tot Z. De PR berichten waren ruim van tevoren aangekondigd en er was een selectieproces vooraf. Jammer dat ik toch wel mensen sprak die niet waren geselecteerd om mee te doen. De dag startte met een briefing door Chris van ‘t Hof, en we zagen een heel team van ambtenaren en leveranciers achter de monitoring tools, om direct te kunnen sparren bij een escalatie. We kregen de lijst met systemen, IP adressen en mobiele apps als onderdeel van de wedstrijd en gingen van start. Edwin van Andel zorgde voor levendigheid tijdens het hacken en er was voldoende Club Mate en ja, er was ook pers. Er was een compleet verzorgde lunch, een borrel met pizzapunt achteraf en er waren zelfs goed gevulde goodybags.
Er kon bijna niets beter, wat mij betreft. Als ik dan toch iets mag noemen, dan zou ik het op prijs stellen als de geheimhouding over de bevindingen, het intellectueel eigendom, kortom de voorwaarden van Zerocopter iets hacker-vriendelijker waren. Daarnaast stond er per ongeluk een systeem op het formulier die (nog) geen toestemming had gegeven voor de wedstrijd, waardoor Chris van ‘t Hof tot driemaal toe moest vragen om aanvallen te staken op dit systeem, oeps.
De voorbereiding
Hoe haal je nu als ethische hacker het meeste uit een dergelijk event? Wat mij betreft kan dat technisch, sociaal en persoonlijk. Vanzelfsprekend moet je uitgerust zijn en fysiek fit. Wat betreft techniek is het nodig dat je naast al je kennis en kunde ook je huiswerk gemaakt hebt. Dat wil zeggen dat vooraf, via een degelijk Open Source Intelligence (OSINT) onderzoek, precies duidelijk is wat de mogelijke doelsystemen kunnen zijn. Dat kan bijvoorbeeld met Shodan, Google, vacature sites, etc. Hierdoor is een goed beeld welke software servers, DNS namen aanwezig zijn en bereid je die aanvallen ook voor. De dag zelf plan je in tijdsloten, net zoals bij een (OSSEC) examen. Plan rust, staar jezelf niet blind op een enkel systeem. Ik begon mijn lijst in omgekeerde volgorde (dat bleken er meer te doen) en selecteerde systemen die niet populair zijn en waar ik zelf veel van weet. Op het sociale vlak loop je voor de rust af en toe rond en spreek mensen, vrienden en collega hackers, maar ook de leveranciers en de organisatie. Een goede connectie is vaak belangrijker dan winnen.