Hacken kun je leren, maar dit lukt alleen door veel proberen en experimenteren. Door hacken op de juiste manier, bij de juiste organisaties en in een veilige omgeving, help je mee om cybercrime tegen te gaan en mogelijk zelfs op te lossen, zonder de wet te overtreden. Eén van die manieren is een capture the flag-hackcompetitie. Lees hier meer overCTF challenges.

Security CTF’s oftewel capture the flag-competities hebben in deze context niks te maken met schietspelletjes op de computer of met het veroveren van de vlag bij het paintballen. Het zijn uitdagende opdrachten, ook wel challenges genoemd, waarbij je nieuwe hackingtechnieken kunt leren.

Vaak vinden CTF’s plaats tijdens een van de vele securityconferenties over de hele wereld. Al in 1996 werd er een CTF georganiseerd tijdens Def Con, een grote en bekende cyberbeveiligingconferentie die jaarlijks wordt gehouden in Las Vegas. Naarmate het internet groeide, groeide ook de CTF-competities en kon ook het internet gebruikt worden om waar dan ook ter wereld mee te doen. Tegenwoordig zijn CTF’s voor iedereen en overal bereikbaar en kun je online direct deelnemen.

In dit artikel leggen we je uit welke challenges er zijn en hoe je zelf CTF’s kunt vinden om te spelen, zowel online als offline.

Deelnemen aan een CTF

De meeste deelnemers aan CTF’s zijn hackers of hebben ervaring met hacken. Maar er komen ook veel studenten die een IT-opleiding volgen, al dan niet in de richting van security. Uiteraard is er ook niks mis mee om als volledige nieuweling mee te doen aan CTF’s, er is altijd wel iemand die je wil helpen of waar je bij kunt aanschuiven om mee te kijken en wat van kunt leren.

Uiteindelijk leer je wel het meest door het zelf te doen en proberen. Maar in het begin is het erg lastig, je weet niks en het lukt je maar niet om de challenges op te lossen. Maar aan het einde van elke CTF worden er write-ups gemaakt door de deelnemers, een volledige beschrijving van hoe anderen een challenge hebben weten op te lossen. Vaak voorzien van de gebruikte exploitcode, korte video’s of een complete stap-voor-stap YouTube-video. Deze zijn heel leerzaam en het beste kun je in het begin veel van deze beschrijvingen lezen en video’s bekijken om het zelf proberen na te doen, zodat je begrijpt hoe het moet en hoe het kan, en je daarna zelf mee aan de slag kunt.

Vaak zijn er aan de online CTF’s ook forums en IRC-kanalen verbonden. Hier worden de verschillende challenges besproken, maar altijd zonder dat er echt een hint of antwoord wordt prijsgegeven. Vragen naar flags, oplossingen of hints is niet netjes en vaak zelfs niet toegestaan. Zeker niet wanneer het voor anderen ook te lezen is.

Benodigdheden

Om mee te kunnen doen aan de online CTF’s, moet je weten waar ze te vinden zijn, vaak moet je een account aanmaken om in te kunnen loggen zodat ook je scores bijgehouden kunnen worden. Voor de Jeopardy stijl-challenges (uitleg verderop) heb je vaak niet meer nodig dan je computer of laptop en toegang tot de website. Bij de attack/defense- of penetratie-challenges heb je vaak een installatie van Kali nodig, het besturingssysteem voor hackingdoeleinden. Daarop zijn dan ook veel programma’s en tools te vinden die je nodig hebt. Overige tools kun je downloaden van bijvoorbeeld Github op het moment dat je ze nodig hebt.

Bekende tools zijn Nmap voor een eerste scan om informatie over porten en services te vinden, het Linux-tooltje smbclient voor meer informatie over samba shares, Wireshark voor het analyseren van netwerkverkeer, Nikto om webservers te scannen, hashcat voor het decoderen van wachtwoorden en sqlmap om geautomatiseerd SQL-injections te ontdekken.

©PXimport

Je kunt ook een volledige virtuele machine om mee te oefenen downloaden, die worden vaak als iso-bestand aangeboden. De machine is al helemaal voorbereid en je kunt hem op je eigen computer of laptop draaien. Zo heb je de beschikking over je eigen kwetsbare server, waar geen andere deelnemers op zitten. Deze downloadbare kwetsbare machines vind je bijvoorbeeld op de website vulnhub.com, hier staan inmiddels meer dan driehonderd .iso-bestanden op die elk hun eigen uitdaging en moeilijkheid hebben.

Soorten CFT challenges

Er zijn verschillende soorten challenges. Bij reverse engineering krijg je meestal een bestand, een uitvoerbaar programma, dat je lokaal kunt draaien. Met de juiste input voor het programma wordt uiteindelijk de flag onthuld. Door het reverse engineeren van het programma leer je hoe het algoritme werkt en weet je welke input je moet geven om de flag te vinden.

Bij cryptochallenges gaat het om cryptografie, vaak uiteenlopend van simpele of zelfgemaakte encryptie tot zwakke random generators. Maar het kan ook heel geavanceerd en wiskundig worden, waarbij je snel het spoor bijster bent als je niet volledig van dit soort technieken op de hoogte bent.

Bij pwning challenges krijg je meestal ook een uitvoerbaar programma, maar ook een ip-adres en een poort waar het programma op een server draait. Met het uitvoerbare bestand kun je lokaal proberen om het programma te exploiten en zo remote code execution te krijgen. Vervolgens gebruik je je ontwikkelde exploit code om op afstand een toepassing binnen te dringen en een actie uit te voeren. Als je op de server gekomen bent, kun je het bestand met de flag vinden en uitlezen. Vaak lopen deze challenges uiteen van een simpele buffer overflow tot erg geavanceerde heap overflows.

Een forensics challenge kent allerlei varianten. Bij een memory dump is het de bedoeling om een bestand te analyseren en bijvoorbeeld alle gebruikersnamen en wachtwoorden die op het moment van de dump in het geheugen van die computer waren geladen, eruit te halen. Bij netwerk packet analyse moet je analyseren hoe de communicatie tussen twee servers eruitzag en moet je bijvoorbeeld een gebruikersnaam en wachtwoord die in deze communicatie werd meegestuurd, vinden. De flag kun je vinden door de verborgen informatie uit de bestanden te lezen, alsof je een forensisch onderzoek aan het doen bent. Voor beginners zijn deze challenges vaak lastig.

Web challenges werken aan de hand van URL’s en kennen challenges zoals authenticatie bypass; het omzeilen van het inloggen met een gebruikersnaam en wachtwoord, en SQL- of XML-injections.

De IoT- (Internet Of Things) challenges zul je vaker bij een bedrijf of organisatie op kantoor vinden, omdat je hiervoor fysiek toegang tot het IoT-apparaat nodig hebt. Vaak is dit een combinatie van een web challenge, omdat er een administrator interface op zit, reverse engineering, omdat de firmware onderzocht kan worden, en een hardwarehack via bijvoorbeeld de netwerkaansluiting of UART, een seriële poort op een IoT-apparaat.

©PXimport

Er zijn eigenlijk twee veelvoorkomende soorten CTF’s. Namelijk Jeopardy-stijl CTF’s en attack/defense-CTF’s. Er zijn CTF’s die meer lijken op een werkelijke security penetratietest en er zijn gemengde competities; een combinatie van meerdere soorten CTF’s.

Bij de Jeopardy-stijl CTF is het de bedoeling om verschillende opdrachten (challenges) op te lossen van verschillende categorieën. Vaak kun je jezelf door het oplossen van de challenges toegang verschaffen tot een server, waar je dan een bepaalde tekst kunt vinden, die vlag (flag) heet. Vandaar ook de naam ‘capture the flag’. Deze flag kun je vervolgens uploaden als bewijs dat je de challenge gehaald hebt. Hiermee verdien je punten voor jezelf of je team.

De attack-/defense- CTF’s werken anders. Vaak worden ze gespeeld in teamverband. Elk team heeft zijn eigen kwetsbare servers en services. Als team moet je je eigen systeem verdedigen tegen andere teams die jouw systeem aanvallen. Tegelijkertijd kun je als team de server van andere teams proberen aan te vallen.

Bij de penetratietest-CTF probeer je individueel of met een team via vooraf bepaalde kwetsbaarheden een systeem binnen te komen. Een aantal veelvoorkomende kwetsbaarheden zijn het gebruik van zwakke wachtwoorden, gedeelde harde schijven zonder de juiste ACL’s, gesimuleerde eindgebruikers of bufferoverflows. Ook bij deze vorm van CTF is het niet toegestaan om elkaar aan te vallen, maar alleen de machines die voor de CTF beschikbaar zijn gemaakt.

De Jeopardy-stijl CTF’s gaan vaak over meer dan security alleen. Er komen ook veel raadsels en wiskundige breinkrakers in voor. De verschillende categorieën waarin challenges voorkomen zijn onder meer reverse engineering, cryptografie, pwning, forensics, web, IoT enzovoort. Hoe meer challenges je weet op te lossen, hoe moeilijker ze zullen worden. Moeilijker challenges leveren meer punten op. Degene met de meeste punten wint. Het is bij de Jeopardy-stijl CTF overigens niet toegestaan om elkaar aan te vallen, iedereen gebruikt over het algemeen zijn eigen laptop en logt in op de server of servers waar de challenges op staan.

Online CTF’s

Wil je zelf aan de slag met CTF, dan is een online-variant het makkelijkst om mee te beginnen. Er zijn wel honderden voorbeelden te noemen van websites die CTF’s hosten. Hier noemen we een aantal van de grootste en meestgebruikte websites.

Google heeft een CTF waarbij de beste tien teams na een online kwalificatieronde uitgenodigd worden om onsite de finale te spelen. En hier zijn leuke prijzen te winnen, maar het begint wel eerst online en daar kan iedereen aan mee doen.

CTF time is gemaakt door de CTF-community voor de CTF-community. Hier vind je CTF’s zowel online als offline, die binnenkort zullen plaatsvinden. Hoe en waar je je kunt inschrijven staat er ook, net als historische CTF-events en onder meer de ranglijst van deelnemende CTF-teams.

Overthewire is een verzameling van zogenoemde wargames. Elke challenge is te bereiken via een eigen ssh-poort. Er zijn verschillende levels die steeds moeilijker worden naarmate je verder komt. De Bandit-challenge is uitermate geschikt voor iedereen die net begint.

©PXimport

W3challs is een trainingsplatform met verschillende realistische challenges met verschillende moeilijkheidsgraden (easy, medium, hard). Deze heeft ook een forum waar je met andere deelnemers over de challenges kunt discussiëren.

Root-Me heeft meer dan 200 hack-challenges en ook nog 50 virtuele omgevingen waar je je skills kunt oefenen.

Op Hackthebox staan zowel kwetsbare servers als challenges in verschillende categorieën. Toegang krijgen tot de website is al een challenge op zich. Er zijn teams en ruim 150.000 mensen van over de hele wereld die dagelijks proberen de challenges te kraken.

Onsite CTF’s

Nog leuker is het natuurlijk om een on-site CTF bij te wonen of zelf aan deel te nemen. Er is een aantal bekende CTF’s. Secure by design organiseert elk jaar een CTF waar ongeveer 250 deelnemers op afkomen. Afgelopen jaren was het een uitgebreide penetratietest-stijl CTF in een studio in Hilversum.

Het Platform voor InformatieBeveiliging organiseert ook jaarlijks een CTF in Jeopardy-stijl. Aan meedoen zitten wel wat kosten verbonden, tenzij je lid bent, maar daarvoor krijg je wel een gezellige avond waar veel mensen aan deelnemen.

Hack in the box is een jaarlijkse hackingconferentie in Nederland, waar naast de conferentie ook een CTF wordt georganiseerd. Tijdens het tweedaags evenement wordt in teamverband geprobeerd de Jeopardy-stijl CTF te hacken.

Nog leuker is meedoen aan de CTF tijdens een van de hackingconferentie in de Verenigde Staten, zoals het eerder genoemde Def Con. Hiervoor moet je wel naar de VS, maar naast de CTF kun je ook de conferentie zelf bezoeken en er zijn leuke prijzen te winnen.

Tekst:Joost van ‘t Zand

Een wasbaar dekbed combineert de vulling en de hoes tot één geheel, waardoor je nooit meer hoeft te worstelen met losse dekbedhoezen. Het klinkt als een uitkomst: even in de wasmachine, drogen, klaar. Maar werkt dat in de praktijk echt zo prettig als het lijkt? En past zo'n alles-in-één-oplossing wel bij jouw manier van slapen en wassen? We zetten alles voor je op een rij.

Nooit meer elke week dat gedoe met je beddengoed

Iedereen kent het wel: je staat te kl&^!@en met een dekbed dat niet in de hoes wil glijden. Het is een klusje waar bijna niemand blij van wordt. Het wasbare dekbed - ook wel bekend als 'coverless duvet' of 'dekbed zonder overtrek' - belooft daar een einde aan te maken. De buitenkant fungeert eigenlijk als een vaste hoes: je slaapt er direct onder, zonder extra overtrek. Maar dat roept wel de vraag op: hoe houd je zo'n all-in-one dekbed fris en schoon? En hoe makkelijk krijg je het eigenlijk weer droog?

Dekbed en hoes inéén

Een wasbaar dekbed is in feite een dekbed met een vaste, zachte buitenlaag waar je direct onder slaapt. De vulling – meestal van zachte vezels – is slim doorgestikt, zodat het dekbed zijn vorm behoudt en overal even comfortabel aanvoelt. In Nederland worden dit soort dekbedden op de markt gebracht door onder andere Zelesta en Happybed.

Eindelijk je bed verschonen zonder stress

Voor sommige mensen is dit dekbed een echte uitkomst. Als je minder kracht hebt of snel last krijgt van je gewrichten, is het heerlijk dat je niet hoeft te trekken en te schudden. Ook in krappe ruimtes - zoals een caravan of camper - is het handig dat je niet hoeft te manoeuvreren met losse hoezen. Voor een logeerbed is het bovendien ideaal: je pakt het uit de kast, legt het neer en het ziet er meteen netjes en uitnodigend uit.

Zolang je wasmachine meewerkt …

Geen gedoe met opmaken dus, maar het wassen kan nog wel een uitdaging zijn. Een tweepersoons wasbaar dekbed neemt flink wat ruimte in en past lang niet in elke wasmachine. In een kleinere trommel kan de vulling het water en wasmiddel nauwelijks opnemen. Het wordt dan wel nat, maar niet echt schoon. Ook het drogen vraagt wat extra geduld: doordat de vulling vastzit aan de buitenkant, duurt het langer voordat het hele dekbed echt goed droog is.

Voor wie een wasbaar dekbed niet handig is

Een wasbaar dekbed klinkt misschien als dé oplossing, maar het is niet voor iedereen even praktisch. Heb je een kleine wasmachine met een trommel van minder dan 8 kilo, dan is de kans groot dat een tweepersoons dekbed er simpelweg niet in past. En zonder droger kan het behoorlijk lastig zijn om zo'n gevuld dekbed weer goed droog te krijgen. Blijft het te lang vochtig, dan loop je bovendien het risico dan het dekbed muffig gaat ruiken.

Ook als je het 's nachts snel warm hebt, is het goed om even stil te staan bij het materiaal. De meeste wasbare dekbedden zijn gemaakt van polyester, wat minder goed ademt dan bijvoorbeeld katoen of wol. Dat kan broeierig aanvoelen, zeker in de zomer. En houd je van variatie in kleur en stijl op bed? Met dit type dekbed ben je gebonden aan één look. De buitenkant is namelijk ook meteen het uiterlijk van je bed, en wisselen van stijl betekent meteen een nieuw dekbed kopen.

Zo bepaal je of een wasbaar dekbed iets voor jou is

Of een wasbaar dekbed bij je past, hangt vooral af van je gewoontes. Wil je regelmatig een andere look in je slaapkamer? Heb je genoeg ruimte én de juiste apparatuur (zoals een wasmachine met een grote trommel) om zo'n dekbed goed te wassen en te drogen? In een druk huishouden, waar de wasmachine al overuren draait, kan een dekbed met lange droogtijd onhandig zijn. Maar woon je alleen of heb je een goede droger, en wil je vooral minder gedoe met bedden opmaken? Dan kun je jezelf met een wasbaar dekbed ergernis besparen.

Grand Theft Auto 6 komt met iedere dag een beetje dichterbij, en terwijl Rockstar Games alles op alles zet om de game op tijd af te krijgen wordt er ook nog altijd toegevoegd aan Grand Theft Auto Online. De game is een gigantische bron van inkomsten voor het bedrijf, en er wordt nog altijd content aan het spel toegevoegd.

Wat is er nieuw deze week? 

Een van de redenen achter het continue succes van GTA Online is de constante stroom aan content die Rockstar Games in het spel pompt. Er zijn iedere week wel events en speciale missies te voltooien, en het bedrijf brengt regelmatig grotere uitbreidingen uit met verhalende missies en nieuwe operaties om vrij te spelen. Voor iedereen die bijvoorbeeld iedere dag zijn social media-feeds ververst voor de nieuwe GTA 6-trailer heeft de game veel te bieden. 

Ook deze week is er weer veel gaande in GTA Online, namelijk: 

©Rockstar Games

Deze week beschikbaar in de Gun Van: 

• Service Carbine (met 50% korting)  

• Military Rifle (met 30% korting voor GTA+-leden)  

• Compact EMP Launcher 

• Sweeper Shotgun 

• Combat PDW 

• Switchblade 

• Proximity Mines 

• Sticky Bombs 

• Tear Gas

Deze voertuigen zijn deze week in de aanbieding:

• Pegassi Zorrusso (Super) – 30% korting

• MTL Dune (Off-Road) – 30% korting

• Nagasaki Outlaw (Off-Road) – 30% korting

• Blimp (Plane) – 30% korting

• Buckingham Shamal (Plane) – 30% korting

• Dinka Veto Modern (Sports) – 30% korting

• Declasse Hotring Sabre (Sports) – 30% korting

• Übermacht Sentinel Classic (Sports) – 30% korting

• Grotti Cheetah (Super) – 30% korting

• Canis Freecrawler (Off-Road) – 30% korting

Verdere beloningen:

De specifieke details van deze week lees je hier.

©Rockstar Games

Recente updates: 

Mansion Raid:Een nieuwe PvP-modus is Mansion Raid, waarin twee teams het tegen elkaar opnemen. Het ene team probeert een Mansion binnen te komen, de kluis te bereiken en te ontsnappen met de buit terwijl het andere team dit probeert te voorkomen. Mansions zijn groot, maar de gangen zijn nauw, dus een vijand kan je om iedere hoek verrassen. 

A Safe House in the Hills: Met deze update is het mogelijk voor spelers om een speciale Mansion aan te schaffen in de rijke buurten van Los Santos. Wie een Mansion koopt krijgt een bekend gezicht te zien: Michael De Santa en zijn vrouw Amanda - uit het verhaal van GTA 5 - introduceren je tot dit rijke leven. Verder is de KnoWay Out-missieketen toegevoegd en is de Rockstar Mission Creator geïntroduceerd, waarmee spelers hun eigen missies kunnen bouwen. 

Hoe werkt GTA Online?

In GTA Online beleef je net als in de meeste GTA-games het leven van een crimineel in een grote stad, die een naam voor zichzelf maakt en - hopelijk - bakken met geld verdient. In tegenstelling tot de meeste GTA-games doe je dit echter in een wereld waar ook andere spelers in rondlopen, met dezelfde doelen als jij. 

De gameplaycyclus bestaat voornamelijk uit het uitvoeren van missies om geld en RP  - ofwel Reputation Points - te verdienen, om langzaam maar zeker toegang te krijgen tot grotere missies en nieuwe businesses. Net als in singleplayer GTA-games zijn er heists uit te voeren die grote bedragen opleveren, maar het is daarbij ook mogelijk een eigen crimineel imperium op te bouwen. Zo koop je locaties waarin dan bijvoorbeeld drugs worden geproduceerd, die je later kunt verkopen. Tijdens het bevoorraden van je locaties en verkopen van je producten is het daarentegen altijd mogelijk dat andere spelers je proberen te dwarsbomen. 

Verder bestaat de GTA Online-ervaring ook uit community-gedreven content, bijvoorbeeld in de vorm van online races die door spelers zijn gemaakt of verschillende roleplay-servers die in recente jaren steeds populairder zijn geworden. Hierin doen spelers alsof ze daadwerkelijk het personage zijn dat ze spelen, waarmee zij dan een gezamenlijk verhaal creëren. 

©Rockstar Games

GTA+ en Shark Cards

GTA Online is een monstersucces gebleken voor Rockstar, met name dankzij de Shark Cards - microtransacties waarvoor spelers echt geld betalen om direct virtuele GTA-dollars op hun in-game bankrekening te storten. Gezien grote bedragen bij elkaar sparen in de game best lang kan duren, betalen genoeg spelers graag voor zo’n ‘buffertje’. Er zijn verschillende soorten Shark Cards beschikbaar: 

Een nieuwe bron van inkomsten is GTA+, een abonnement dat 7,99 euro per maand kost en toegang geeft tot verschillende extra’s in GTA Online en een aantal klassieke Rockstar-games. Het abonnement is beschikbaar op PlayStation 5, Xbox Series X en S en pc.

De voordelen van GTA+ bestaan uit 500.000 in-game dollars, die iedere maand op de virtuele bankrekening worden gestort en toegang tot extra’s via The Vinewood Club. Zo kunnen spelers tot 100 voertuigen opslaan in een exclusieve garage, is er exclusieve korting op geselecteerde items en krijgen zij toegang tot een app op de in-game telefoon waarmee zij hun businesses snel kunnen beheren - in plaats van naar iedere locatie te rijden. Nog meer van de voordelen in GTA Online vind je onderaan deze pagina. 

©Rockstar Games

Daarbij krijgen GTA+-leden iedere maand gratis cosmetics en voertuigen. Tot 4 februari zijn de volgende spullen te claimen als je een abonnement hebt: 

Het abonnement biedt overigens ook iets buiten GTA Online. Op het platform waarop je GTA+ afsluit zijn dan namelijk ook een aantal klassieke Rockstar-games te spelen. Die titels zijn:

• Red Dead Redemption

• Grand Theft Auto: Vice City - The Definitive Edition

• Grand Theft Auto 3 - The Definitive Edition

• Bully 

• L.A. Noire

• Grand Theft Auto: The Trilogy - The Definitive Edition (bevat ook bovenstaande GTA-games, plus de remaster van GTA: San Andreas

• GTA Online (voor wie de game niet apart wil aanschaffen. 

GTA Online na de release van GTA 6

Door de hierboven genoemde Shark Cards en GTA+ blijft GTA Online een ontzettendwaardevolle bron van inkomsten voor Rockstar Games. Veel mensen vragen zich dan ook af wat er met de modus gaat gebeuren wanneer het langverwachte Grand Theft Auto 6 uitkomt. Historisch gezien kregen GTA 4, GTA 5 en Red Dead Redemption 2 namelijk ook een eigen online modus na release.

©Rockstar Games

Hoewel de komst van een onlinemodus voor GTA 6 nog niet is bevestigd, is de verwachting wel dat die er uiteindelijk komt. Wat dat betekent voor de ondersteuning van GTA Online is onbekend, al zei Take-Two's CEO Strauss Zelnick in een interview met IGN het volgende op de vraag of GTA Online wordt afgesloten:

"Ik ga theoretisch spreken, want ik ga het niet hebben over een specifiek project als daar nog geen aankondiging van is gedaan, maar over het algemeen onderhouden we onze projecten wanneer de consumenten nog steeds met die titels bezig zijn."

De spelersaantallen van GTA Online en bijbehorende inkomsten zullen met de release van GTA 6 niet in één klap wegvallen, dus het lijkt logisch dat Rockstar de online-modus nog een tijdlang blijft ondersteunen.