Branded Content
Branded Content XTR Branded Content is de commerciële content op nrc.nl. De inhoud valt buiten de redactionele verantwoordelijkheid van NRC Media.

Zo word je een kampioen in hacken

In de Global CyberLympics Security Challenge gaan teams van hackers uit de hele wereld met elkaar de strijd aan om meerdere ICT-systemen aan te vallen en te veroveren. In de laatste vijf edities heeft het Nederlandse Deloitte-team Hack.ERS vier keer gewonnen.

Het deelnemende team van Deloitte bestaat volledig uit ethical hackers en wordt al jaren aangevoerd door Ivo Noppen. Ivo legt uit wat het werk als ethical hacker inhoudt en teamcaptain Henri Hambartsumyan vertelt hoe het Deloitte-team de laatste editie van de Global CyberLympics won.

Henri, hoe gaan de CyberLympics in zijn werk?

Om überhaupt mee te mogen doen moesten we ons eerst kwalificeren. Verschillende teams uit de hele wereld gingen twaalf uur achter elkaar via internet een reeks verschillende uitdagingen gaan. Dat waren opdrachten op het gebied van webapplicaties, malwareanalyse en forensische ICT.

De twaalf beste teams – de nummers 1 en 2 van ieder werelddeel uit de voorrondes - mochten naar de finale in Den Haag, waar we acht uur lang de strijd aan gingen met elkaar. Dat is best zwaar omdat je heel geconcentreerd moet werken.

Wat waren je belangrijkste taken als teamcaptain?

De teamcaptain is degene die met de spelleiding communiceert als er vragen zijn over de opdrachten en die discussies voert met de scheidsrechter. En die waren er zeker. Niet omdat we conflicten hadden; het ging eigenlijk altijd over de regels of technische onduidelijkheden.

Mijn belangrijkste taak was te bepalen wie waar en wanneer moest worden ingezet. Van tevoren hadden we een lijst gemaakt met de benodigde skills en wie welke beheerst, zodat we dat niet tijdens de wedstrijd uit hoefden te zoeken. Uit voorgaande jaren wisten we wat we nodig hadden en dat deze aanpak werkt.

Waarom hebben jullie gewonnen?

De teamleden hadden een complementaire skillset. Belangrijk is om al dat talent op de dag zelf te kunnen inzetten. Dat betekent weten hoe het proces loopt. En het proces loopt natuurlijk het lekkerst wanneer een team goed kan samenwerken. Ook daar hebben we in de voorselectie op gelet.

Ivo, wat kunnen ethical hackers leren van de CyberLympics?

In de vorige editie was er een kasteel met een ophaalbrug, een slotgracht en krokodillen. Als één horde overwonnen is, ben je niet gelijk bij de kroonjuwelen. Een kasteel is ontworpen om aanvallers tegen te houden. Software is ontworpen om gebruikers toegang te geven tot bepaalde functionaliteiten. Daar zien wij ook de kwetsbaarheden: naast het toegang geven aan gebruikers zou ook beveiliging (het tegenhouden van aanvallers) in de ontwerpfase meegenomen moeten worden: Secure by Design.

Waarin verschilt een ethical hacker van een developer?

Een developer maakt software of een systeem om iets specifieks mee te kunnen, bijvoorbeeld bellen via een 4G-verbinding. Hackers zijn geïnteresseerd in wat je met die technologie nog meer kan doen, dan waar het in eerste instantie voor ontworpen is. Een koelkast is toch veel vetter wanneer hij zelf je boodschappen kan bestellen of wanneer je hem ombouwt zodat hij kan bellen?

Hacking zit dicht tegen innovatie aan. Het gaat echter niet alleen om verbeteren wat al mogelijk is, maar ook om diezelfde skills in te zetten om te onderzoeken wat er nog meer kan met een technologie. Iets wat eigenlijk niet de bedoeling is, om op die manier vast te stellen welke kwetsbaarheden de technologie bevat die een kwaadwillende zou kunnen misbruiken.

Waarin zit het ‘ethische’ van een ethical hacker?

Wij doen advies in opdracht. We zijn geen schimmige jongens en meisjes die op een zolder zitten en kwaad willen. Ethical hackers werken in opdracht voor klanten die willen weten hoe het met hun security staat. Of omdat het een hacker al is gelukt in te breken op de systemen. Uitzoeken waar het mis is gegaan is bijna als forensisch werk.

Hoe wordt iemand een hacker?

Dat word je niet, dat ben je. Je moet een brandende nieuwsgierigheid bezitten en bereid zijn een leven lang te leren. Black hat of white hat hackers gebruiken dezelfde tools. We zijn allemaal enthousiastelingen die graag hun kennis delen. Dat betekent veel lezen, op de hoogte blijven van nieuwe systemen en scripts en in het weekend spelen met je eigen testsystemen. En je moet volhardend zijn. Soms kost het uren om één dingetje uit te zoeken voordat je weer verder kunt. Dat moet je mooi vinden.

Meer weten over de Global Cyberlympics Security Challenge, of van gedachten wisselen over ethical hacking? Neem dan contact op met Ivo Noppen en/of Henri Hambartsumyan.