Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 32 reacties

Tijdens de jaarlijkse Cyberlympics-competitie hebben het Nederlandse team Deloitte Hack-ERS de tweede plaats behaald, terwijl KPN Sector C, eveneens uit Nederland, de derde plek innam. Het winnende team was Team Padawans van de universiteit van Maryland.

De Global Cyberlympics vindt jaarlijks plaats en is bedoeld voor teams van ethische hackers wereldwijd, om hun kunnen op gebied van kraken van beveiliging, doorbreken en verbeteren van digitale defensie en forensische computer-capaciteiten te tonen. Dit doen ze bij een reeks games, waaronder een capture the flag-competitie. Dit jaar vond de competitie in Barcelona plaats. De competitie is opgezet door de Council of E-Commerce Consultants en wordt ondersteund door het International Multilateral Partnership Against Cyber Threats.

Uiteindelijk ging het Amerikaanse Team Padawans er met de award en de prijs van 1000 dollar, omgerekend bijna 800 euro, vandoor. De tweede plek was voor het Nederlandse team Hack-ERS. Dit team van Deloitte was de favoriet omdat het de afgelopen drie jaar de competitie op zijn naam wist te zetten, maar het greep er dit jaar net naast. Wel behaalde Hack-ERS de Europese titel. De derde plek was voor Sector C, het hackersteam van KPN. Vorig jaar werd dit team eveneens derde.

Team Padawans

Moderatie-faq Wijzig weergave

Reacties (32)

Goed initiatief, maar wel een beetje droevig bedrag die 1000 euro. Daar kunnen de teams niet eens hun reis en verblijf van betalen.
Aangezien de (NL) teams onder hun bedrijfsnaam opereren verwacht ik dat het met die kosten wel goed komt.
Wellicht dat iemand met betrokkenheid bij deze teams hier een licht op kan schijnen.

In ieder geval: gefeliciteerd met de dubbele podiumplekken!
De rest covered het bedrijf wel ja ;)

Wel jammer dat dit even wel coverage krijgt, maar de vierde plek van een ander Nederlands CTF team afgelopen April in Korea niet ;)

https://ctftime.org/event/133

Cyberlympics is een vrij 'corporate' aangelegenheid, en toetst in de ogen van vele andere CTF teams slechts in beperkte mate daadwerkelijke praktische skills. Als iemand die veel ervaring heeft met CTFs en die toevallig ook alle voorrondes van Cyberlympics heeft gespeeld kan ik er wel een lichtje op schijnen (en meteen aangeven waarom ik de waarde van Cyberlympics beperkt vind).

Cyberlympics kent een entry fee van $60. Alle CTFs van het 'andere' soort zijn praktisch altijd gratis

Zowel deze CTF als de 'andere' worden vaak of geheel online gespeeld, of kennen een online kwalificatie met de finales 'on site'

De meeste 'andere' CTFs bestaan tegenwoordig meestal uit een verzameling 'challenges' van varierende moeilijkheidsgraad, verdeeld over categorieeen als 'reverse engineering' (hier is een binary, zoek uit hoe het werkt), 'crypto' (in dit cryptoalgoritme zit een zwakheid, hier is een verseuteld bericht), 'web' (we hebben een website gebouwd, hack it), exploitation (schrijf een memory corruption exploit voor dit programma).

Een tweede soort is 'attack and defense', waarbij ieder team een VM krijgt, met daarop (zelfgeschreven!) services met vulnerabilities erin. Het is de bedoeling dat je jouw services patched, en tegelijkertijd andere teams aanvalt. Voor zowel offense als defense ontvang je punten.

Voor Cyberlympics waren de voorrondes echter heel anders:

Ronde 1: je kreeg een Ubuntu 10.10 VM waarbij ze een aantal services 'fout' hadden geconfigureerd of doelbewust backdoors hadden aangebracht. Denk aan een extra useraccount 'backdoor' of een FTP-service welke voor anonymous users writable is.

Hier kon je je score echter enkel zien als een 'percentage' van het aantal fixed vulns. Het was dus lastig zien of een wijziging goed was, en de organisatie heeft soms een krom idee van 'veilig' (een netcat binary moest je deleten, die is immers levensgevaarlijk!)

Ronde 2: wat hashes te cracken en een hoop cryptogrammen, voornamelijk klassieke ciphers zoals Playfair, Caesar cipher, Vigenere.

Brakheid hier was dat je EXACT de juiste 'online decoder' moest gebruiken, men gebruikte soms simpelweg de default settings van de tools op die website.

Ronde 3: je kreeg een VPN login voor een netwerk met een hoop 'vulnerable' services. Hier kwam het erop neer dat je bestaande vulnerabilities moest exploiten, veelal met een geautomatiseerde tool als Metasploit.

Het grootste probleem was nog wel dat men een proprietary VPN-terminator gebruikte (ipv. iets als OpenVPN), hierdoor hadden veel teams probelemen met het werkend krijgen van de VPN (er was ook geen testmoment oid). De teams die wel eens eerder hadden meegespeeld hadden hier waarschijnlijk voordeel. Van de machines in het netwerk waren er een aantal hergebruikt van voorgaande jaren, ook hier hadden teams weer voordeel.

Finale (niet gespeeld, van horen zeggen): lijkt op de derde ronde, maar dan onsite

De bottomline is tweeledig:
1. Cyberlympics test geen 'echte' skills, maar enkel het doen van een truukje (cryptogrammen), blind een brakke VM 'securen' (1e ronde) of jaren oude vulnerabilities misbruiken dmv. Metasploit.

De echte 'skills' liggen wmb. bij het ZELF kunnen vinden van ONBEKENDE fouten in programma's en protocollen. Dat wat de 'andere' CTFs testen (daar is NIETS 'bestaand' of 'hergebruikt' maar op een realistische manier custom gebouwd).

2. Cyberlympics, en de organiserende partij (EC-Council) kunnen niet eens een fatsoenlijke CTF bouwen, zelf als de core business om Metasploit gebouwd is.

Had ik al gemeld dat:
- De eerste ronde gecancelled was omdat deze (verspreid over de wereld) op verschillende dagen werd gehouden, en een andere continent al antwoorden had gelekt omdat ze het N dagen eerder hadden gespeeld?
- Het systeem van EC-Council waar je antwoorden moet zitten bol staat van de SQL-injection vulnerabilities? Ze kunnen zelf niet eens een veilige website bouwen
- Alles echt ONTZETTEND brak is.

Rest me alleen nog Deloitte en KPN te feliciteren met hun 2e en 3e plaats. Ik vind de waarde qua 'skills' zeer beperkt, maar gezien van de brakheid van de hele competitie, en de frustratie die dat oplevert wordt het bijna een meta-game om dat 'juist' te kunnen spelen. Waarvoor hulde.

tl;dr Cyberlympics is primair een promovehicle voor KPN/Deloitte/EC-Council, speel een echte CTF (Hack.lu, PHDays, DEF CON CTF, pCTF, etc.)
1000 dollar i.p.v. 1000 euro. Niet dat dat het beter maakt. Vrij treurig prijzengeld inderdaad voor een team van zeven hoogopgeleide professionals, maar het zal wel met name om de 'eer' gaan :) ; is toch ook leuk? Hopelijk staat er nog een extraatje bij de werkgever tegenover deze prestatie; het brengt voor een bedrijf als Deloitte wel mooie publicititeit op (ook al hebben ze niet gewonnen en if you ain't first, you're last!).
'Ethische' hackers. Gesponserd door o.a. Kpn die het zelf niet zo nauw nam met dpi etc.
Ethisch hacken is vziw officieel nog steeds strafbaar. Maar dit is voor de goede zaak natuurlijk. :z
.
Onzin, Etisch hacken is niet strafbaar, hacken is niet strafbaar.
Een computer binnendringen zonder dat je daar rechten toe hebt, dat is strafbaar.

Echt je zou van tweakers toch meer mogen verwachten, zeker na nieuwsberichten als: nieuws: Hackers boos over negatieve omschrijving door Openbaar Ministerie
Ook niet geheel correct...
Of iets strafbaar is is maar een deel van de vraag of iets niet mag.

op het moment dat men roze haar strafbaar stelt en het OM en de rechtelijke macht er niks mee doen, is het de-facto gewoon toegestaan.

In het geval van ethisch hacken, zolang er enkel een maatschappelijk doel wordt nagestreefd en er geen onnodige schade aan de bedrijfsvoering en privacy wordt veroorzaakt, is de kans groot dat je niet eens vervolgd gaat worden. Als je dan vervolgd gaat worden is de kans vrij groot dat je er vanaf gaat komen met een nihil gestelde boete...

Is het strafbaar? Ja!
Ga je bestraft worden? Hoogste waarschijnlijk niet, of nihil.
Ook niet geheel correct :+
op het moment dat men roze haar strafbaar stelt en het OM en de rechtelijke macht er niks mee doen, is het de-facto gewoon toegestaan.
Welkom bij gedoogbeleid. Het mag niet, maar we staan het wel toe. Vervang roze haar eens voor hennep en stel de vraag dan nog eens.

Het is dus nog altijd volgens de wet niet toegestaan, maar er is geen handhaving (goed) op afgestemd. Dat maakt het nog steeds strafbaar en dat is ook het spanningsveld bij een ethische hack. Je doet iets wat eigenlijk niet mag, maar als er aan bepaalde voorwaarden wordt voldaan, zou het kunnen dat je in sommige landen er niet voor vervolgd wordt. Nederland is daar één van die landen van ( zie ook dit artikel) waarin we dit graag anders zien. Dat schept wel iets ruimte, maar nog lang niet genoeg. Het enige wat er volgens mij tot nu toe is, is een interne leidraad vanuit heer Opstelten (zie ook hier en hier). Dat is niet heilig, want het OM mag zelf nog altijd bepalen wanneer men vind dat er tóch strafrechtelijke vervolging dient plaats te vinden. En dat maakt het er niet makkelijker op, als een gehackte partij zijn zaak aandraagt bij het gerechtshof en het OM.
Nee, Hacken is niet strafbaar, het woord komt niet eens voor in de wet voor zover ik weet, daar heeft men het namelijk over 'computervredebreuk' of 'wederrechtelijk binnendringen van een geautomatiseerd systeem'

http://maxius.nl/wetboek-van-strafrecht/artikel138ab

Voor de rest klopt je betoog aardig, zelfs als je wel iets srtafbaars doet zoals zonder toestemming ergens binnendringen, kan je alsnog onder een regeling vallen die opstelten in 2013 naar voren geschoven heeft na overleg met de security community, te weten: de leidraad 'ethisch hacken', maar dan moet je aan een aantal vrij logische beperkingen voldoen.
ManiacsHouse heeft wel degelijk gelijk, ethisch hacken is strafbaar. De Nederlandse wet kent onder andere:
Civiel recht: Dit is bijvoorbeeld Bedrijf A tegenover persoon B of persoon C tegenover persoon D.
Hiermee krijg je te maken als een bedrijf je wilt aanklagen wegens computervredebreuk. Je kan je hiervoor afdekken door een contract te tekenen met het bedrijf A als je in opdracht handeld. In dit contract staat dat ze je vrijwaren van civiele procedures.

strafrecht: Dit is de Staat tegenover persoon A. Strafrecht is altijd geldig.
art. 138a, Sr: Geen computervredebreuk
art. 139a, Sr: Niet afluisteren
art. 161sexies, Sr: Geen computer stoornissen veroorzaken
art. 350a, Sr: Wijzigen & vernietigen opgeslagen data

Het OM heeft als richtlijn 'ethisch hacken' door de vingers te zien, het blijft dus wel een strafbaar feit.
Normaal is Ethisch hacken strafbaar omdat het bedrijf dit niet van de hacker vraagt om te doen.

In dit geval vraagt het bedrijf om de beveiliging na te lopen en te hacken dus een White hacker als benaming had beter op ze plaats geweest, en is dus niet strafbaar.
Hacken is een strafbaar feit door zonder toestemming binnen te dringen in beveiligde computersystemen.

Je kan dan eigenlijk ook niet van hacken spreken, maar het bekt zo lekker, en iedereen snapt waar ze het over hebben. Maar ze hebben dus toestemming =p en dan ben je eerder een beveiligingsadvizeur.
Het gaat hier om professionele beveiligings onderzoekers. Dat maakt het verschil. Als ik jou inhuur om mijn netwerk te testen, dan is daar niets illegaals aan.
Maakt voor de wet dus niet uit. Dat is hetzelfde zeggen als dat een professioneel chauffeur niet bekeurd mag worden omdat hij te hard rijdt of andere gedragingen doet. De gedraging blijft beboetbaar, ook al kunnen er verzachtende omstandigheden zijn.
Als deze professionele chaffeur te hard rijd op een afgesloten circuit, waar de eigenaar heeft bepaald dat er harder gereden mag worden, dan is dit toch ook niet strafbaar? Op het moment dat 1 van deze onderzoekers bij jou inbreekt zonder toestemming dan zijn deze net zo strafbaar als jij en ik. Maar als ik ze daarbij toestemming geef dan is het een heel ander verhaal. Andere vergelijking: Ik ben mijn sleutels kwijt en bel de sleutelmaker om mijn deur open te maken. Is deze dan ook strafbaar?
Ik geef iemand toegang/de opdracht om (te proberen) in mijn systeem in te breken. Dat is strafbaar volgens de wet?
Maakt voor de wet dus niet uit. Dat is hetzelfde zeggen als dat een professioneel chauffeur niet bekeurd mag worden omdat hij te hard rijdt of andere gedragingen doet. De gedraging blijft beboetbaar, ook al kunnen er verzachtende omstandigheden zijn.
Juist wel, het gegeven dat iemand is ingehuurd, maakt dat diegene niet wederrechtelijk bezig is. Hij heeft toestemming van de eigenaar van het systeem om te proberen er binnen te komen.

Als ik vanuit mijn functie als manager van de webshop een security analyst inhuur om de webshop te testen op kwetsbaarheden, dan doet die analyst niets strafbaars.

Als het altijd strafbaar was, hoe zou een security analyst zijn werk dan moeten doen?
Het enige wat het verschil maakt is of iemand dus ingehuurd wordt in dit geval, daar hebben jij en de andere bovenstaande reageerders gelijk in. Maar het punt is vaak zo niet vaker dat dit juist niet gebeurd volgens een opdracht, waardoor het wel degelijk strafbaar kan zijn, hoezeer het ook een serieus probleem zou kunnen aantonen. Dat maakt het dat er nog altijd te vaak in een grijs gebied wordt geopereerd door ethische hackers.
ALs ik de games goed begrepen heb, dan wordt er eigenlijk via een applicatie gewerkt speciaal gemaakt voor deze wedstrijd? Zou het niet competiever zijn om ze los te laten op een bestaand systeem?
Dan zouden ze thuis kunnen oefenen, of al eens mee gewerkt hebben, nu heb je een toets die nieuw is voor iedereen, lijkt me wel zo fair.
Doet me denken aan het spel Hacker op de Commodore 64.
https://www.youtube.com/watch?v=TkKwKHTw7ns
Lekker bezig 2e en 3e...
Mooier kan en hoef niet...
Mooi werk mensen van harte gefeliciteerd
Zo klein landje en zoveel talent niet normaal :)
We zijn in ieder geval leuk vertegenwoordigd daar. Kudos aan iedereen die mee deed. Ik ben zelf ook wel altijd geïnteresseerd geweest in cyber security, maar man man wat gaat daar veel tijd in zitten :).
1000 dollar maar? Pff
En de eer natuurlijk van het team he, dat is wel wat interessanter dan een geldbedrag
In dit geval wel ja :)
En waar bestonden de opdrachten uit?

/edit, link staat gewoon in de tekst.

[Reactie gewijzigd door wica op 30 september 2014 12:25]

Wat is dat voor een miezerige prijs dan. ¤800,- verdeeld over het hele team is natuurlijk niets. Geef dan beter helemaal geen geldprijs zou ik zeggen.
wie het kleine niet eert, is het grote niet weerd
Met 7 man en 800 euro kan je best een avond de bloemetjes buiten zetten.
Ik vraag me ook af waarom er zulke belabberde prijzen zijn? Het gaat hier dus eigenlijk alleen maar om de eer/naams bekendheid?
Het lijkt me dat deze jongens er hard voor werken en vele uren besteden om up2date to blijven in dit wereldje en dan is de waardering zo laag?

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True