Op maandag 27 september 2021 was het zover, het jaarlijkse door Cybersprint georganiseerde Hack the Hague evenement stond op de planning. De gemeente Den Haag laat zich tijdens dit evenement hacken door professionele- en studenthackers. Daarmee wil de gemeente haar weerbaarheid tegen cyberaanvallen vergroten en het bewustzijn over digitale veiligheid bij medewerkers, burgers en ondernemers vergroten.
Het evenement
Dit jaar werd het evenement digitaal gehouden, in vorige edities waren de deelnemers fysiek aanwezig in het gebouw van de gemeente Den Haag. Wegens de coronamaatregelen was een fysiek evenement dit jaar helaas niet mogelijk. Een digitale editie betekende echter dat deelnemers over de hele wereld mee mochten doen aan het evenement. Maar liefst 206 nationale en internationale ethisch hackers, waaronder professionals en studenten, kregen de kans om de digitale infrastructuur van de gemeente en haar leveranciers op de proef te stellen. Uiteindelijk zijn er maar liefst 125 unieke kwetsbaarheden gemeld bij de gemeente, waaronder: injectie van kwaadaardige code, account overname en verouderde software. Er waren prijzen van €500,- tot €2000,- te verdienen in categorieën zoals “Meest creatieve hack”, “Meest geavanceerde hack” en “Meest impactvolle hack”.
Onze ervaring
Een hack evenement begint altijd met een vooraf gedefinieerde scope, in de scope staan IP-adressen of URL’s van de doel systemen die getest dienen te worden. Dit jaar werd het evenement voor het eerst digitaal gehouden, deelnemers dienden via een VPN-verbinding verbinding te maken met de systemen die in scope waren. Deze VPN-verbinding werkte niet stabiel en zorgde bij enkele deelnemers voor problemen, waardoor de start van het evenement ietwat vertraagd werd. Door aanhoudende problemen met de VPN, besloot de gemeente den Haag om 11:00 uur de scope vrij te geven en het evenement te starten. De gemeente Den Haag gaf de deelnemers tot 17:00 uur de tijd om kwetsbaarheden in kaart te brengen en te melden. Het platform waar de bevindingen op werden ingediend werd beschikbaar gesteld door ZeroCopter. Bij het melden van security bevindingen diende een beschrijving, CVSS-score en impact ervan op de organisatie beschreven te worden. Daarnaast verliep de communicatie tussen de ontwikkelaars van de te onderzoeken diensten en de deelnemers via ZeroCopter.
Na de opstartproblemen bleef er een tijdsbestek van zes klokuren over om de omgeving te onderzoeken. Zes klokuren is te krap om de gehele scope te onderzoeken en ook goed de diepte in te kunnen. Dit betekende dat we de focus moesten leggen op een deelgebied namelijk enkele URL’s uit de scope die ons na beoordeling, erg interessant leken gelet op gebruikte functionaliteit. Uiteindelijk zijn vanuit RedTeam acht unieke beveiligings problemen gevonden en gemeld. Het meest kritische beveiligings probleem dat wij vonden, leidde tot een 3e prijs in de categorie “Meest impactvolle hack”. Deze prijs zien wij als kers op de taart van deze geslaagde dag. Het was leuk om met het team samen hieraan te werken en een waardevolle bijdrage te kunnen leveren voor de algehele veiligheid van de gemeente Den Haag en haar leveranciers. Wat ons betreft zeker voor herhaling vatbaar en credits aan cybersprint, zerocopter en gemeente Den Haag voor de goede organisatie.
Initiatief nemen
De gemeente Den Haag wil zich met dit evenement profileren als gemeente met een goede weerbaarheid tegen cybercrime. Jeroen Schipper, CISO van de gemeente: “Wij willen als ‘stad van vrede en recht’ een voorloper zijn in digitale veiligheid. Den Haag is daar ook een logische plek voor, omdat de rijksoverheid en veel internationale organisaties hier zitten. Maar het gaat niet alleen om de overheid en grote bedrijven die veel geld kunnen stoppen in hun IT-beveiliging. Ook MKB’ers en burgers willen we leren om digitaal weerbaarder te worden. Wij voelen ons daar als gemeente ook verantwoordelijk voor. Zo bieden we op veel plekken in de stad veilige wifi aan, hebben we digitale ambassadeurs en projecten als ‘Digitale veiligheid in de wijk’. Maar ook laten we met dit hack-evenement aan de buitenwacht zien dat wij zelf de digitale beveiliging serieus nemen.”
Tot slot
Wil jij ook verbeteren op het gebied van informatiebeveiliging en wil je cybercriminelen te allen tijde een stap voor blijven? Lees dan eens onze Whitepaper over pentesten om meer te weten te komen over hoe je beveiligings problemen inzichtelijk kunt maken. Daarnaast biedt RedTeam nog meer interessante diensten aan, waarmee de cyber weerbaarheid van jouw organisatie nog meer zal toenemen. Neem contact met ons op en informeer naar wat wij voor jouw cyber veiligheid kunnen betekenen.
![Tweede prijs – NL SECURE[ID] CTF ’20](https://redteam-security.nl/wp-content/uploads/2021/09/KPN-Security-500x383.png)
