Tijdens Hâck The Hague ging een recordaantal van 206 ethische hackers op zoek naar kwetsbaarheden in de ict van de gemeente Den Haag. Jeroen Schipper, gemeentelijke chief information security officer (ciso), licht het succes van het evenement toe. De meeste deelnemers gaat het niet om geld, ze zijn al tevreden met een capuchontrui.
De gemeente Den Haag organiseerde 27 september de vierde editie van Hâck The Hague, een evenement waarvoor ethische hackers worden uitgenodigd om kwetsbaarheden te vinden in de ict van de Hofstad. Grofweg is die zoektocht onderverdeeld in het zoeken naar kwetsbaarheden in de eigen systemen van de gemeente, de Azure-omgevingen en de systemen van derden.
Dit jaar werd het evenement vanwege corona op afstand georganiseerd. Een recordaantal van 206 deelnemers uit 22 landen meldden 125 kwetsbaarheden. Onder die deelnemers zijn zowel professionele ethische hackers als studenten. De gevonden kwetsbaarheden zijn onveilige toegang tot accounts, verouderde software en de mogelijkheid tot het injecteren van kwaadaardige codes in een website. Ook was een account volledig over te nemen.
Eén melding van een kwetsbaarheid bij een externe leverancier is direct doorgebriefd aan de Informatiebeveiligingsdienst (IBD), het computer emergency response team (cert) voor Nederlandse gemeenten. Bij een andere kwetsbaarheid konden de hackers via allerlei omwegen ‘iets op straat doen’, vertelt ciso Jeroen Schipper. De functionaris informatiebeveiliging blijft bewust cryptisch als het om de onthullingen gaat, omdat er voor alle incidenten niet direct een oplossing is.
Externe systemen
Schipper vertelt dat er steeds meer aandacht is voor systemen van derden, omdat bij incidenten vaak blijkt dat die externe systemen een rol spelen.
Tot zijn tevredenheid doet negentig procent van de externe leveranciers van de gemeente mee aan de hackathon. Bij nieuwe contracten stelt de gemeente deelname aan Hâck The Hague zelfs verplicht. Met die voorwaarde hoopt de gemeente ook de beveiliging van de ict-systemen van derden en daarmee de beveiliging te verbeteren. De meeste leveranciers staan daar open voor en zien het als een gratis pentest, vertelt Schipper.
Hij maakte als ciso van Den Haag al twee keer eerder een editie van Hâck The Hague mee. ‘Het evenement was nu vooral anders doordat we niet fysiek samenkwamen. Het was meer een soort live-tv-uitzending’, zegt hij verwijzend naar de livestream op internet en de podcasts en video’s die tijdens het evenement werden gedeeld. In 2019, de laatste editie voor corona (in 2020 werd het evenement geschrapt), namen 79 hackers deel vanuit de centrale hal van het gemeentehuis.
Studenten en tophackers
Schipper: ‘We misten wel het effect van samenzijn. Studenten die net zijn begonnen, kijken vaak enorm op tegen de professionals, zoals bijvoorbeeld Thijs Bosschert.’ De Nederlandse tophacker won met zijn team Bazen twee prijzen. Eén voor de meest creatieve hack (tweede plaats) en één voor de hack met de meeste impact (eerste plaats). Schipper: ‘Normaal kunnen studenten ’s avonds tijdens een pizzaatje die toppers gewoon aanspreken en de dag doornemen. Dat is met een evenement op afstand toch anders.’
Succes
Het succes van het hackevenement in de derde grootste gemeente van Nederland blijft niet onopgemerkt, Het is sinds de eerste editie in 2017, toen 37 deelnemers met vier meldingen kwamen, fors gegroeid. Veel gemeenten en bedrijven willen het kunstje afkijken. Maar Schipper benadrukt dat een hackevent als dat van Den haag niet zomaar is opgezet.
‘Veel gemeenten en ook commerciële organisaties willen weten hoe we het doen. Ze denken: als we een hackevenement organiseren, dan zijn we daarna verzekerd van een veilige ict-omgeving. Maar het werkt anders. Je moet eerst de basis van je ict-beveiliging op orde hebben. Pas daarna kun je een hackevenement opzetten.’ De gemeente publiceert later dit jaar een serie artikelen over de inzet van de hackersgemeenschap voor het beveiligen van de digitale veiligheid.
Hij wijst in het gesprek met Computable ook op de verschillen tussen responsible disclosure en coordinated vulnerability disclosure (cvd). Bij responsible disclosure ligt het initiatief om verstandig met een melding van een kwetsbaarheid om te gaan vooral bij de hacker. In het geval van cvd gaat het om een wisselwerking tussen hacker en leverancier. Daarin wordt de ethische hacker bij het oplossen van het probleem betrokken en op de hoogte gehouden van de stappen die de organisatie zet om de beveiliging te verbeteren. ‘Vroeger was het vaak van ‘bedankt voor de melding’ en ieder ging weer zijn eigen weg. Maar door meer contact te hebben over de oplossing en de communicatie tussen hacker en leverancier of de betreffende organisatie ontstaat een betere band en samenwerking.’
Geld of een hoodie?
De vraag dringt zich op hoe ethische hackers worden beloond. Slechts een kleine groep hackers weet met financiële vergoedingen voor het melden van beveiligingslekken, zogenoemde bugbounty’s, zijn brood te verdienen. Maar het beeld dat je van het vinden van kwetsbaarheden in systemen je beroep kan maken, spreekt wel tot de verbeelding.
Onder de deelnemers aan de Haagse hackathon zijn zowel professionals als studenten. Alle deelnemers krijgen een goedgevulde cadeautas en een capuchontrui. Binnen vier categorieën wordt prijzengeld van tussen de vijfhonderd en tweeduizend euro verdeeld.
Hoe het evenement er volgend jaar uitziet, is nog niet bekend. Schipper hoopt dat de hackers weer samen kunnen komen in het gemeentehuis, maar mogelijk wordt het een hybride evenement. Hij kijkt vooral uit naar het deel van de deelnemers uit het buitenland dat volgend jaar mogelijk naar Den Haag komt. ‘Ons evenement is een dag voor de One Conference in Den Haag. Dat security-evenement trekt altijd veel bezoekers uit het buitenland. We adviseren deelnemers die naar One gaan om een dag eerder te komen. Dan kunnen ze meedoen bij ons en eventueel een leuk geldbedrag winnen. Hoewel de meesten zijn al tevreden met een hoodie en goodiebag.’
Kwantiteit zegt niks over de kwaliteit, de scriptkiddies die al tevreden zijn met een capuchontrui zijn niet de goed (door staten) betaalde hackers die aan deuren rammelen die gesloten moeten blijven. Quod erat demonstrandum voor Jan wijs ik op de opmerking over studenten die net zijn begonnen en de tophackert Thijs Bosschert die de prijzen won in de categorie creativiteit en impact. Wat betreft de quid pro quo van een goodie bag en een capuchontrui heb ik mijn bedenkingen over de verkeerde zuinigheid, zeker als het gaat om coordinated vulnerability disclosure en de screening van alle deelnemers want de bugbounty op de zero day markt is wel wat lucratiever dan het prijzengeld.
De (ethische) hacker, zeker niet de beginnende, kan niet leven van alleen het prijzengeld als de verbijfskosten al het dubbele zijn. En één dag eerder komen om voor niks te werken of één dag later om nog even een paar duizend Euro binnen te tikken doet vermoeden dat Jeroen Schipper nog niet goed de gemeenschap kent. En als de recruiter voor laten we zeggen een buitenlandse firma met wat duistere antecendenten zou ik het wel weten, het netwerken via ‘wandelgang-discussies’ gaat niet om het beloven van een pizza. Je kunt namelijk prima je brood verdienen met het vinden van beveiligingslekken want het is hierin niet alleen maar techniek.
@oudlid,
inderdaad ik denk dat de hacks uit deze sessie laag hangend fruit is of reeds afgeschreven zero-days zijn. de echte brute hacks geef je niet op in den haag, daar ga je mee naar veel beter betaalde events! ze zeggen wel eens ‘pay peanuts, get monkeys’ en in NL zitten we maar al te graag voor een dubbeltje op de eerste rang.