Capture the Flag: leer denken als een criminele hacker

Gewoon voor de lol rondkijken in de computer van een ander? Daarin op zoek gaan naar gevoelige informatie? Slimme hackers draaien er hun hand niet voor om. Hoe ga jij je verdedigen? Door als een hacker te denken. Met dat doel traint docent Daniel Meinsma zijn tweedejaars studenten en organiseert hij op 16, 17 en 18 februari een landelijke scholenwedstrijd.

Hij maakt liever puzzels dan toetsen, zegt-ie. Tweedejaarsstudenten HBO-ICT met de differentiatie Information Security Management kunnen daarvan meepraten. Met hen speelt Daniel iedere week Capture the Flag. “Dat is onder goede hackers een populaire wedstrijdvorm, afkomstig uit het leger. Ik maak digitale puzzels, met daarin een vlag verborgen. Door allerlei beveiligingen te omzeilen, kunnen studenten de puzzel oplossen en de vlag veroveren. Dat tikt dan lekker aan op hun scorebord. Ze vinden het hartstikke mooi om hiermee bezig te zijn.”

Écht beter dan je buurman

“In deze wedstrijdvorm kun je laten zien hoeveel kennis en vaardigheden je hebt. Dat jij écht beter bent dan je buurman. Die gamification heb ik twee jaar geleden ingevoerd binnen HBO-ICT en die is ook niet meer weg te denken. Op deze manier leid ik studenten op tot analisten die goed kunnen speuren. Hacken is eigenlijk: software uit elkaar halen en de onderdelen gebruiken op een manier die de ontwikkelaar nóóit heeft bedoeld. Door de software op een andere manier te gebruiken, probeer je langs de beveiliging te komen. Als een criminele hacker dit kan leren, kunnen wij het ook.”

‘Als een criminele hacker dit kan leren, kunnen wij het ook!’

Wie een scooter uit elkaar kan halen en weer in elkaar kan zetten zonder onderdelen over te houden, weet hoe dat ding in elkaar zit. “Zo leer je ook het beste hoe software in elkaar zit. Dan weet je ook wáár het in je computer mis kan gaan, als een hacker jou aanvalt. Ik leer studenten als een aanvaller te denken.”

Wachtwoord van IT-manager

Afhankelijk van hoe moeilijk een puzzel is, geeft Daniel meer of minder tips. “Duik eens in de bronnen van dat Wikipediaverhaal. Of onderzoek eens waarom deze kernwoorden voor de puzzel belangrijk zijn. De studenten worden zo gedwongen zelf op onderzoek uit te gaan. Bij een moeilijke puzzel kan hen dat zomaar een middag kosten. Maar dan is het ook geweldig kicken als je als eerste de oplossing hebt gevonden.”

Daniel geeft een voorbeeld van een puzzel. “Met een accestoken kunnen de studenten inloggen bij de computer die ik bij SURF heb draaien (SURF is dé internetprovider van het onderwijs). Op die computer heb ik een virtuele omgeving gebouwd. Die lijkt op de omgeving van een groot bedrijf of een bank. De studenten verkennen de computer. Waar kunnen ze bij, waar moeten ze moeite voor doen? Waar liggen wachtwoorden opgeslagen voor een computer van iemand met meer rechten dan zij? Door te zoeken en door beveiligingen te omzeilen, kunnen ze uiteindelijk het wachtwoord van de IT-manager vinden.”

‘Ik leer studenten om als een aanvaller te denken’

Landelijke scholenwedstrijd: doe mee

In Europa wordt dit op veel meer hogescholen en universiteiten gedaan. In Nederland loopt De Haagse Hogeschool voorop. Om meer scholieren en studenten enthousiast te maken, heeft Daniel Meinsma in samenwerking met Hogeschool Utrecht en Fontys ICT een landelijke scholenwedstrijd uitgeschreven van 16 tot en met 18 februari. Iedere scholier of student kan daaraan meedoen. 

“Een docent kan een clubje scholieren of studenten aanmelden. Ik kom middelbare scholieren tegen die zo slim zijn dat het jammer zou zijn als ze níet in dit werkveld aan de slag zouden gaan. Deze wedstrijd is een aansporing om iedere hacker zijn bragging rights – het hoogst haalbare resultaat in de hackersscene – te ontnemen. Zodat de digitale wereld steeds veiliger wordt, omdat we weerbare data-analisten hebben opgeleid.” 

Aanmelden

Wil je je aanmelden voor de grote scholenwedstrijd? Ga daarvoor naar https://jointcyberrange.nl/. Wil je weten wat er allemaal gebeurt op het gebied van Capture the Flag, ga dan naar https://challengethecyber.nl/