Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 63 reacties
Submitter: Camulos

Team Hack.ERS van Deloitte en team SectorC van KPN zijn op de eerste en tweede plaats van de jaarlijkse CyberLympics geëindigd. Vorig jaar behaalden dezelfde teams de tweede en derde plaats in de wereldwijde wedstrijd voor ethische hackers.

Bij de competitie van vorig jaar moesten de Nederlandse hackersteams het Amerikaanse team Padawans voor zich laten, maar tijdens de CyberLympics van 2015 waren de rollen omgedraaid. Team Hack.ERS heeft de eerste plaats in de wacht gesleept, terwijl team SectorC op de tweede plaats eindigde. De Amerikanen zijn derde met het team ctrl+alt+del.

Teams die deelnemen aan de CyberLympics bestaan uit vier tot zes spelers. De globale competitie voor ethische hackers bestaat uit diverse opdrachten, die erop gericht zijn om de beste beveiligingsexperts te vinden. Deze opdrachten kunnen lokaal worden uitgevoerd door de deelnemende teams, de beste teams van ieder continent worden vervolgens uitgenodigd om deel te nemen aan de finale. De hoofdprijs bestaat uit 1000 dollar, omgerekend 880 euro.

Team Hack.ERS

Moderatie-faq Wijzig weergave

Reacties (63)

Ik vind het mooi om te zien dat KPN hier de strijd wint. Ik heb normaal niet veel goede woorden over voor KPN, maar voor deze keer maar ik graag een uitzondering.

Een aantal jaar geleden werd KPN, zoals bijna iedereen weet, gehacked door een tiener vanuit z'n kamertje thuis. Had root toegang tot servers, etc.

Na dit incident heeft KPN een cybersecurity team opgericht, iets wat ze naar eigen zeggen daarvoor niet hadden. Een verslag hiervan werd door KPN gepresenteerd op het "Observe, hack, make" hackers festival in NL 4 jaar geleden.

Na de hack heeft KPN dus een team samen gesteld om continue de security van de eigen organisatie en producten te testen. Daarnaast nodigt men regelmatig "gast-hackers" uit om demo's te geven, kennis uit te wisselen, etc.

Ik vind het dus mooi om te zien dat na 4 jaar hard werken KPN van een onveilige organisatie blijkbaar ergens naartoe is gegaan waarbij ze prijzen weten te winnen met hun security team, daarvoor hulde.

@richie007
In het bericht stond het origineel verkeerd, vandaar.

[Reactie gewijzigd door SaintK op 21 oktober 2015 17:57]

Dus het gaat niet niet om een onafhankelijk team dat toevallig gesponsord wordt door KPN, maar om echte KPN-medewerkers?
Dit zijn medewerkers van het ethische hackers team van KPN dus niet gesponsord. Dit team is zoals eerder aangegeven hier opgericht na de hack van KPN enkele jaren geleden.
OK cool, wist niet zeker of dat dezelfde mensen waren.
2de plek is niet winnen maar wel goed gedaan :)
Leuk om te zien dat het eens iemand is van mijn buurland. In plaats van meestal Amerikaanse of Chinese winnaars te hebben.

Wat ik wel niet snap is waarom mensen in de reacties zeuren over de 'lage prijspot'. Moest ik ¤150 om iets te doen wat ik leuk vindt, graag.

Buiten dat, denk ik eerder dat veel mensen ook voor de eer meedoen. Kunnen zeggen dat je zo'n wedstrijd gewonnen hebt is niet niks. En trouwens, denk je dat het echt bij ¤1000 blijft? Deze winnaars zullen later waarschijnlijk ingehuurd worden door vele bedrijven, daar worden ze dik betaald.
Deze winnaars zullen later waarschijnlijk ingehuurd worden door vele bedrijven, daar worden ze dik betaald.
Is dat zo? Ik heb niet de indruk dat er dik wordt betaald voor security. De meeste bedrijven zijn er totaal niet mee bezig en de bedrijven die het wel doen huren een bedrijf met werknemers die niet dik betaald worden maar een gewoon salaris krijgen. Het moet immers goedkoop. Begrijp me niet verkeerd, wat zij kunnen is zeker veel waard en wat mij betreft zouden ze daar ook zeker veel mee moeten kunnen verdienen. Maar ik heb niet de indruk dat bedrijven daar zoveel voor willen betalen, als ze er uberhaupt al geld voor over hebben.

Ik ben dan ook oprecht benieuwd of de winnaars daadwerkelijk ingehuurd worden, banen aangeboden krijgen en er een dik salaris aan overhouden. Ik vrees dat morgen niemand meer weet wie ze zijn en er voor hun weinig zal veranderen. Ik heb de indruk dat mensen en bedrijven in het algemeen de noodzaak en de waarde van deze mensen flink onderschatten.
Ja dat is zo.
Beveiliging niet goed betaald? Wat zeg jij nu?

Ik pak nu even een zeer extreem voorbeeld, maar je kan wel even meer als $200.000 krijgen vindt je een echt gevaarlijke fout in de software van bijvoorbeeld Facebook. Meestal liggen deze bug-bounties wel lager, rond de ¤10.000 wat nog steeds zeer veel is.

Buiten dat, is het gewoon jaarsalaris van iemand in informatiebeveiliging niet laag.
In de NSA bijvoorbeeld betalen ze je al een jaarsalaris van $200.000, en dan heb je er je huisje op Hawaï nog niet bijgerekend.

Werk je voor een groot bedrijf zoals Facebook, Microsoft, of Google, mag je toch ook wel tussen de ¤90.000 - ¤250.000 rekenen. Dit ook voor grote instellingen.

Informatiebeveiliging is helemaal niet slecht betaald, inderdaad wel onderschat.
Het enige probleem vaak is, is dat je écht goed moet zijn wil je rond de ¤150.000 - ¤250.000 verdienen. Maar deze mensen zijn dat dus blijkbaar, anders hadden ze niet gewonnen.

[Reactie gewijzigd door ONiel op 21 oktober 2015 15:06]

Ik pak nu even een zeer extreem voorbeeld, maar je kan wel even meer als $200.000 krijgen vindt je een echt gevaarlijke fout in de software van bijvoorbeeld Facebook. Meestal liggen deze bug-bounties wel lager, rond de ¤10.000 wat nog steeds zeer veel is.
Dat is inderdaad een hoop geld. Maar je vergeet dat het zoeken naar bugs geen zekerheid heeft, je hebt geen vast inkomen en kan maarzo honderden uren bezig zijn en op niks uitkomen. Natuurlijk zullen er een paar mensen goed betaald krijgen op deze manier, maar ik zie dat niet als een goed voorbeeld.

Het zou leuk voor die mensen zijn als ze er daadwerkelijk wat aan overhouden. Bij Facebook, Microsoft of Google komt je niet snel binnen (in elk geval niet met een dergelijk hoog salaris), dus het zou leuk zijn als voor de winnaars de eerste stap is gezet.
Wat houd je tegen dit in je vrije tijd te doen?
Veel mensen die bug-bounties vinden zijn informatiebeveiliger als echt werk, maar zoeken bug-bounties in hun vrije tijd.
Wat houd je tegen dit in je vrije tijd te doen?
Veel mensen die bug-bounties vinden zijn informatiebeveiliger als echt werk, maar zoeken bug-bounties in hun vrije tijd.
Niets. Maar om het feit dat mensen dit in hun vrije tijd doen en er slechts enkele daadwerkelijk rijk van worden vind ik het niet echt een voorbeeld waarom beveiliging goed zou betalen. Je zegt ook zelf dat zij als echt werk vaak informatiebeveiliger zijn, maar hoeveel verdient dat dan? Want daar gaat het om.
Wat noem je rijk? Pas als je een bug-bounty van ¤250.000 krijgt? Of om de twee maande ¤10.000 extra verdienen? Want dat laatste lijkt mij ook al vrij veel geld.

Hoeveel ze verdienen, heb ik al opgesomd, twee reacties terug.
Ik ben bezig met een opleiding voor Informatie Beveiligings Manager, HBO niveau. Bij de overheid stroom je als IBer in op schaal 10, dat betekent ¤2445 bruto per maand. Dit als net afgestudeerde. Mijn huidige stagebegeleider (ook IBer) zit in schaal 12, waarin je minimaal ¤3409 en maximaal ¤5067 bruto per maand in verdiend. Lijkt mij flink boven modaal. Als je dan ook nog eens bedenkt dat je in het bedrijfsleven waarschijnlijk meer verdiend, denk ik dat je redelijk kan stellen dat een IBer niet slecht verdiend.

(Bron Overheidssalarissen: https://www.werkenvoorned...oorwaarden/salarisschalen)
De vraag naar (technische) informatiebeveiligings mensen is op dit moment zeer hoog. Volgens de HBO Monitor 2014 heeft ongeveer 50% van de afgestudeerden meteen ná het afstuderen een baan, meer dan 30% na drie maanden, en de overgebleven ~20% na 6 maanden. Lijkt mij dat het een prima markt is om in te zitten.

(Bron: http://www.dehaagsehogesc...management/werk-en-beroep)
Ik reageerde op jouw reactie waar je het salaris bij de overheid gaf. Dus dat je eerst bij de overheid aangenomen moet worden.
Buiten dat, is het gewoon jaarsalaris van iemand in informatiebeveiliging niet laag.
In de NSA bijvoorbeeld betalen ze je al een jaarsalaris van $200.000, en dan heb je er je huisje op Hawaï nog niet bijgerekend.
De kleine groep mensen die fulltime aan security werkt verdient er goed aan. Het probleem is dat die groep nogal klein is, de meeste bedrijven zijn er totaal niet mee bezig. Die hebben geen security officer maar laten het door Henk-van-de-postkamer doen.

Je kán heel goed aan security verdienen maar de meeste beveiligers krijgen een stuk minder.

[Reactie gewijzigd door CAPSLOCK2000 op 21 oktober 2015 23:20]

Denk je echt dat je goede hackers krijgt met een hoofdprijs van 160 euro per persoon?
Beetje zero-day levert 10.000 dollar op.

Er zijn een hoop die zich hiervoor niet laten verleiden en zich niet aanmelden.
werken ze gewoon niet voor de bedrijven wie ze vertegenwoordigen?
Ja Deloitte en KPN (in dit geval)
[...]

Ik ben dan ook oprecht benieuwd of de winnaars daadwerkelijk ingehuurd worden, banen aangeboden krijgen en er een dik salaris aan overhouden. Ik vrees dat morgen niemand meer weet wie ze zijn en er voor hun weinig zal veranderen. Ik heb de indruk dat mensen en bedrijven in het algemeen de noodzaak en de waarde van deze mensen flink onderschatten.
Al deze teams zijn bedrijfsteams die security wél serieus nemen en hun personeel prima betalen.
Ik ben dan ook oprecht benieuwd of de winnaars daadwerkelijk ingehuurd worden
Deze mensen hebben allemaal al een baan, het zijn werknemers van Deloitte en KPN

[Reactie gewijzigd door CAPSLOCK2000 op 21 oktober 2015 23:19]

Als niet door bonafide bedrijven willen criminele organisaties deze hackers wel grof geld betalen _/-\o_
Integendeel, deze hackers zijn zeer gewild en worden door zowel KPN als Deloitte uitstekend betaald. Wat betreft de vraag van bedrijven, eerder genoemde organisaties kunnen de vraag nauwelijks bijbenen.
Zal inderdaad wat beter op je CV staan dan dat je eerste wordt bij bijvoorbeeld een LoL tournament :)
Zal inderdaad wat beter op je CV staan dan dat je eerste wordt bij bijvoorbeeld een LoL tournament :)
Ach, wanneer je miljoenen hebt verdient omdat je eerste bent geworden op een LoL tournament zal dat CV je laatste zorg zijn. Leuk dat je een mooi CV hebt, maar met een miljoen of meer zou ik me daar niet druk om maken. :P
Aan de ene kant tuurlijk tof dat je daar 880 euro voor krijgt, maar aan de andere kant is het lullige dan weer dat je dat per persoon al kwijt bent om er te komen.
Ik schat zo in dat de bedrijven die die teams afvaardigen de reiskosten etc. wel voor hun rekening nemen.
In verhouding vind ik de prijspot beschamend laag.. of.. bij anderen beschamend hoog.

Een kampioenschapje DoTa.. hoeveel levert dat op..
Hier zitten net zo goed grote bedrijven aan.. maak van het prijsgeld een incentive (wat voor zoiets als een Dota juist niet hoeft).

Nu vind ik Dota's per definitie verschrikkelijk, want het zijn juist spellen, die zijn voortgebouwd op precies de elementen, die ik afschuwelijk vond, van spellen. (micromanagement units in RTS.. verschrikkelijk).

Ik vind een onderwerp als dit.. veel.. en veel en veel meer geld waard.. dan al die andere knullige (sorry, ik blijf die tournoeien stom vinden) evenementen.
Het is alleen niet zo sexy.. niet dat de 'kampioenen' dat wel zijn.. há
Sector-C bestaat uit medewerkers van KPN, dus krijgen al betaald hiervoor :)
Deze jongens (SectorC) zijn in dienst van KPN en na de hack enkele jaren geleden is het ook een zeer belangrijke en invloedrijke afdeling binnen KPN. Geen idee wat voor salaris ze krijgen maar dit zal vast voldoende zijn zodat ze niet overstappen naar bijvoorbeeld een Fox IT die zeer goed betaald.
Wat me hieraan opvalt is de lage prijzenpot. Als je ziet dat er bij een E-sports event voor duizenden dollars uitgereikt wordt vind ik het opvallend dat er bij een hack contest niet meer interesse is van sponsors/bedrijven e.d.
Inderdaad 880/6 = 147¤per persoon. Dat is dus je beloning voor ethische hacken. O-)
Maar wat is dan de winst voor de sponsoren? En hoe groot is het publiek?

De opbrengst zal wel niet opwegen tegen de kosten denk ik.

[Reactie gewijzigd door DutchJackal op 21 oktober 2015 14:26]

Exposure is er zeker! Maar als je het vergelijkt met sporters

Olympisch goud - 30.000 euro
Olympisch zilver - 22.500 euro
Olympisch brons - 15.000 euro


vind ik het opvallend laag.


Daarnaast denk ik dat er ook een aantal sporters zijn die het financiele gewin érg hoog hebben staan


bron: http://sport.infonu.nl/di...he-winterspelen-2014.html
Tja en dan ga je olympische winst vergelijken met voetbal en verbaas je je weer. Feit is dat hoe minder bekend/populair iets is, hoe minder ervoor betaald wordt. Zodra bedrijven voor miljoenen aangeklaagd kunnen worden om lekjes gaat de prijs van security-vaardigheden ook omhoog. Tot die tijd is het niet interessant... want niet quantificeerbaar.
Dit gaat niet om het geld maar om de bedrijfseer.

Al deze mensen hebben een goede(?) baan en hun werkgever betaalt ze waarschijnlijk om hier aan mee te doen. De geldprijs is vooral symbolisch, deze mensen motiveer je toch niet met ¤10.000 euro meer of minder.
*kugh*15 miljoen*kugh*
Mooi om te lezen dat we als Nederlanders weer van iets tot de top van de wereld behoren waarvan ik dat nog niet wist.

Offtopic: Er werden zeker ook punten verdeeld voor de minst originele teamnaam, of hebben de beste drie teams toevallig allemaal geen fantasie?
Er zijn meer conferenties omtrent "hacken".

https://en.wikipedia.org/wiki/Computer_security_conference
Meest bekende is wel
https://en.wikipedia.org/wiki/DEF_CON

Wordt niet alleen van alles besproken, maar ook worden er wedstrijdjes gehouden, al dan niet officieel.
Deze wedstrijd lijkt me meer een soort van veredelde sollicitatie.
1000 dollar en een lelijke schaal. Ik vraag me af wie hier dan aan meedoet? Normaal liggen de geldprijzen bij hackatons veel hoger. Bijvoorbeeld deze hackathon van Google met een totale prijzenpot van 2,7 miljoen dollar: http://www.zdnet.com/arti...ackathon-go-break-an-arm/
1000 dollar en een lelijke schaal. Ik vraag me af wie hier dan aan meedoet? Normaal liggen de geldprijzen bij hackatons veel hoger. Bijvoorbeeld deze hackathon van Google met een totale prijzenpot van 2,7 miljoen dollar: http://www.zdnet.com/arti...ackathon-go-break-an-arm/
Je moet dit ook niet zien als motivatie om mee te doen, de teams die hieraan mee doen zijn zakelijke teams deze worden de hele wereld overgevlogen om opdrachten uit te voeren. Dat is nu juist waar het om te doen is niet de geldprijs maar het werk wat hierop volgt.
Als jij het beste deelnemersveld aan het werk wilt zetten dan zul je marktconforme prijzen moeten uitreiken. Met dit soort lage bedragen komen bepaalde hackers gewoon niet. Misschien streven ze dat ook niet na, maar als ze dat niet doen dan moeten ze niet onterecht aan de haal gaan met de referentie naar Olympics. Olympics refereert immers in dit geval naar de beste hackers.
komen bepaalde hackers gewoon niet
De 'hackers' hebben weinig keuze, dit zijn teams die door bedrijven worden gestuurd. Dus niet elke hacker is welkom. Net zoals dat bij de Olympische spelen gaat, alleen de landen die mee mogen doen sturen teams, teams die zij zelf samenstellen, niemand anders is welkom.
Past juist prefect. Olympics betekent juist dat je het niet voor geld doet, maar voor de eer. Denk maar aan de Olympische Spelen, of diverse (wiskunde) olympiades.
Voor 1000 dollar kom ik niet opdagen.
Jij denk dat ze kwamen opdagen voor 1000 Dollar, ik kan je vertellen dat ze dat niet doen, ze gaan erheen omdat hun werkgever wil dat ze erheen gaan. Echter als je in de veronderstelling bent dat deze jongens marktconform salaris krijgen vergis je behoorlijk.
Oh, ben benieuwd. Vertel ;)
Team Hack.ERS van KPN en team SectorC van Deloitte. <--- Dit moet andersom.

En voor wat betreft de discussie over de prijzenpot. Je snapt toch wel dat dit voor de fame / promotie / naamsbekendheid = geld wordt gedaan natuurlijk.

[Reactie gewijzigd door QlimaX op 21 oktober 2015 14:27]

steeds meer talent komt uit ''den lagen landen'' gaaf om te zien!
Een goede ethische hacker doet het niet voor het geld, maar voor een veiliger internet voor iedereen!
Maar wat houd de uitdaging precies in?

Ik kan mij niet voorstellen dat met IDApro/OllyDbg een bestaande applicatie moeten gaan debuggen een zero-day exploit vinden en een oplossing verzinnen...

Of is het meer met wireshark klooien en packets inspecteren..
Voor 1000 euro komt een beetje hacker zijn bed niet eens voor uit. Dramatisch laag bedrag gewoon.
Ja maar het staat wel leuk op je CV, en eerste van de wereld worden levert natuurlijk veel belangstelling op van bedrijven. ;)
Of het 'dramatisch' laag is, hangt helemaal af van de doelgroep en doelstelling. Hier komen duidelijk bedrijfsteam op af, dus gericht op een specifieke doelgroep met een specifieke doelstelling. Die werknemers krijgen de reis en verblijf ongetwijfeld volledig vergoed, dus het is simpelweg een door de werkgever betaald snoepreisje.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True