Nieuws

Op vrijdag 8 mei vond de derde editie van ZeroDayZoetermeer plaats in de Dutch Innovation Factory. Zo’n vijftig hbo-studenten van onder andere De Haagse Hogeschool, Hogeschool Utrecht, Hogeschool Leiden en Hogeschool Inholland kwamen naar Zoetermeer om hun hacking skills te ontwikkelen en te verbeteren.

Tijdens het event konden studenten kiezen uit twee tracks. In Hack Zoetermeer mochten deelnemers op een gecontroleerde manier proberen de systemen van gemeente Zoetermeer te hacken. Studenten die wilden leren hoe hacken werkt maar nog weinig ervaring hadden, konden aan de slag met de competitieve Capture the Flag-track (CTF), waar ze door puzzels en challenges op te lossen steeds meer hacking skills opdeden. 

Een event met vrees en blijdschap
Gewapend met laptops, opladers en de inmiddels iconische ZeroDayZoetermeer-hoodie kwamen de studenten rond lunchtijd de Dutch Innovation Factory binnen. Maar de hongerige magen werden gelukkig direct gestild. Omdat hacken behoorlijk wat energie kost, zorgde Bij Foodie de hele dag voor lunch, snacks, drankjes en avondeten zodat iedereen gefocust kon blijven tijdens de challenges. 

Wethouder Jan Iedema opende het event met een mix van enthousiasme en gezonde spanning. “Ik sta hier met vrees en blijdschap,” vertelde hij lachend aan de zaal. “Ik ben blij omdat dit weer een nieuwe dag is waarop we in de Dutch Innovation Factory samen met studenten en bedrijven werken aan een cyberveiligere toekomst en het opleiden van nieuwe cyberspecialisten. Maar ik heb ook vrees: wij stellen ons als gemeente Zoetermeer natuurlijk kwetsbaar op, want jullie mogen ons proberen te hacken.” Terwijl hij de zaal inkijkt, wijst hij naar een deelnemer met een shirt waarop staat: I hacked the government and all I got was this lousy t-shirt. “Dus ik houd mijn hart vast,” grapte hij. 

“Relevanter dan dit wordt het bijna niet” 
Voor de eerste track, Hack Zoetermeer, gingen studenten actief op zoek naar kwetsbaarheden binnen de systemen van de gemeente Zoetermeer. Nieuw dit jaar was een extra uitdaging rondom operationele technologie (OT). Studenten mochten namelijk ook proberen een aanwezige PLC-installatie te hacken: hardware die wordt gebruikt om processen in de buitenruimte aan te sturen, zoals waterstanden en rioolpompen. En hoe relevant dat onderwerp is, bleek letterlijk diezelfde dag nog.

“De gemeente heeft op dit moment een rioolverstoring waarbij rioolwater in openbare sloten terecht is gekomen,” vertelde Jan Iedema. “En terwijl wij hier staan, wordt onderzocht waardoor dat komt: een programmeerfout of misschien toch een hack? Relevanter dan dit wordt het bijna niet. Dat laat dus zien hoe belangrijk jullie werk en jullie toekomst is.” Een extra motivator dus voor de studenten om te testen, analyseren en bevindingen te documenteren. Want alleen iets vinden is niet genoeg: kwetsbaarheden moeten reproduceerbaar zijn en duidelijk worden vastgelegd in een rapportage.

Nek-aan-nekrace tijdens Capture the Flag 
Naast het realistische hackevent draaide ook de CTF-track op volle toeren. Infinity IT stelde speciaal voor het event hun server beschikbaar waarop de CTF-omgeving draaide. Tijdens deze Capture the Flag-competitie namen teams het tegen elkaar op via allerlei technische puzzels en challenges die alleen opgelost konden worden door creatief te denken én technisch scherp te zijn. Zo kregen studenten bijvoorbeeld een simpele Paint-tekening van een koe in een groen weiland voorgeschoteld, waarin via kleurcodes stiekem een antwoord verstopt zat.  

Via een live scoreboard konden teams continu zien hoe zij ervoor stonden ten opzichte van de concurrentie. Dat zorgde vooral richting het einde van de middag voor flink wat spanning, toen twee teams vrijwel gelijk opgingen in punten. Uiteindelijk ging het team CTF Crushers er met de winst vandoor. Zij wisten niet alleen de meeste punten binnen te halen, maar leverden ook sterke write-ups aan waarin zij duidelijk uitlegden hoe zij de opdrachten hadden opgelost en welke technieken zij daarvoor gebruikten.  

Oud-student als begeleider en inspirator 
Ook Coen Zandstra was aanwezig tijdens ZeroDayZoetermeer. Coen is oud-student HBO-ICT aan de Dutch Innovation Factory en werkt inmiddels als inspecteur bij de Autoriteit Nucleaire Veiligheid en Stralingsbescherming (ANVS). Daarnaast is hij actief als ethisch hacker. Hij deed zelf mee aan de vorige twee edities van ZeroDayZoetermeer en weet dus als geen ander hoeveel je tijdens zo’n event kunt leren.

Mede dankzij de skills die hij tijdens eerdere edities van ZDZ opdeed, vond hij recent een kwetsbaarheid bij het RIVM, die hij meldde bij het Nationaal Cyber Security Centrum (NCSC-NL). Als beloning kreeg hij het door Jan Iedema gevreesde shirt: I hacked the Dutch government and all I got was this lousy t-shirt. “Het shirt is een soort bokaal onder hackers,” vertelde hij trots. “Ik ben lang bezig geweest om het te bemachtigen.” Tijdens het event hielp hij deelnemers op weg, legde hij de spelregels uit en ondersteunde hij teams die vastliepen tijdens de challenges.

Extra prijs voor het winnende team 
Van half één tot half vijf mochten de deelnemers hacken, testen en puzzelen. Daarna ging een onafhankelijke jury van cybersecurityexperts in beraad om de winnaars te bepalen. De winnaar van Hack Zoetermeer werd het team Eye of Horus. Zij wisten de sterkste kwetsbaarheid te vinden binnen de eerder genoemde PLC-installatie, waarmee de waterpompen van de gemeente worden aangestuurd. De jury was vooral onder de indruk van de duidelijke rapportage en de bewijslast waarmee het team aantoonde welke schade zij hadden kunnen veroorzaken. Ook wist het team nog twee aanvullende kwetsbaarheden te vinden, wat uiteindelijk de doorslag gaf. Hun bevindingen worden samen met de verantwoordelijke afdeling en leverancier verder opgepakt.

De winnende groepjes kregen hun prijs uitgereikt door ICT-wethouder Marijke van der Meer. En voor deze winnaars ligt misschien wel een extra cadeautje te wachten. “Wie het voor elkaar krijgt de gemeente te hacken, mag me bellen,” zei Jan Iedema namelijk met een glimlach. “Want er is bij de gemeente altijd plek voor goede mensen.”

ZeroDayZoetermeer wordt georganiseerd door gemeente Zoetermeer, in samenwerking met het Dutch innovation Park, De Haagse Hogeschool, mboRijnland, Eye Security, Dutch Institute for Vulnerability Disclosure (DIVD), Security Delta (HSD), Infinity IT en studievereniging S.V. Equinox.