Hacken kun je leren, maar dit lukt alleen door veel proberen en experimenteren. Door hacken op de juiste manier, bij de juiste organisaties en in een veilige omgeving, help je mee om cybercrime tegen te gaan en mogelijk zelfs op te lossen, zonder de wet te overtreden. Eén van die manieren is een capture the flag-hackcompetitie. Lees hier meer overCTF challenges.

Security CTF’s oftewel capture the flag-competities hebben in deze context niks te maken met schietspelletjes op de computer of met het veroveren van de vlag bij het paintballen. Het zijn uitdagende opdrachten, ook wel challenges genoemd, waarbij je nieuwe hackingtechnieken kunt leren.

Vaak vinden CTF’s plaats tijdens een van de vele securityconferenties over de hele wereld. Al in 1996 werd er een CTF georganiseerd tijdens Def Con, een grote en bekende cyberbeveiligingconferentie die jaarlijks wordt gehouden in Las Vegas. Naarmate het internet groeide, groeide ook de CTF-competities en kon ook het internet gebruikt worden om waar dan ook ter wereld mee te doen. Tegenwoordig zijn CTF’s voor iedereen en overal bereikbaar en kun je online direct deelnemen.

In dit artikel leggen we je uit welke challenges er zijn en hoe je zelf CTF’s kunt vinden om te spelen, zowel online als offline.

Deelnemen aan een CTF

De meeste deelnemers aan CTF’s zijn hackers of hebben ervaring met hacken. Maar er komen ook veel studenten die een IT-opleiding volgen, al dan niet in de richting van security. Uiteraard is er ook niks mis mee om als volledige nieuweling mee te doen aan CTF’s, er is altijd wel iemand die je wil helpen of waar je bij kunt aanschuiven om mee te kijken en wat van kunt leren.

Uiteindelijk leer je wel het meest door het zelf te doen en proberen. Maar in het begin is het erg lastig, je weet niks en het lukt je maar niet om de challenges op te lossen. Maar aan het einde van elke CTF worden er write-ups gemaakt door de deelnemers, een volledige beschrijving van hoe anderen een challenge hebben weten op te lossen. Vaak voorzien van de gebruikte exploitcode, korte video’s of een complete stap-voor-stap YouTube-video. Deze zijn heel leerzaam en het beste kun je in het begin veel van deze beschrijvingen lezen en video’s bekijken om het zelf proberen na te doen, zodat je begrijpt hoe het moet en hoe het kan, en je daarna zelf mee aan de slag kunt.

Vaak zijn er aan de online CTF’s ook forums en IRC-kanalen verbonden. Hier worden de verschillende challenges besproken, maar altijd zonder dat er echt een hint of antwoord wordt prijsgegeven. Vragen naar flags, oplossingen of hints is niet netjes en vaak zelfs niet toegestaan. Zeker niet wanneer het voor anderen ook te lezen is.

Benodigdheden

Om mee te kunnen doen aan de online CTF’s, moet je weten waar ze te vinden zijn, vaak moet je een account aanmaken om in te kunnen loggen zodat ook je scores bijgehouden kunnen worden. Voor de Jeopardy stijl-challenges (uitleg verderop) heb je vaak niet meer nodig dan je computer of laptop en toegang tot de website. Bij de attack/defense- of penetratie-challenges heb je vaak een installatie van Kali nodig, het besturingssysteem voor hackingdoeleinden. Daarop zijn dan ook veel programma’s en tools te vinden die je nodig hebt. Overige tools kun je downloaden van bijvoorbeeld Github op het moment dat je ze nodig hebt.

Bekende tools zijn Nmap voor een eerste scan om informatie over porten en services te vinden, het Linux-tooltje smbclient voor meer informatie over samba shares, Wireshark voor het analyseren van netwerkverkeer, Nikto om webservers te scannen, hashcat voor het decoderen van wachtwoorden en sqlmap om geautomatiseerd SQL-injections te ontdekken.

©PXimport

Je kunt ook een volledige virtuele machine om mee te oefenen downloaden, die worden vaak als iso-bestand aangeboden. De machine is al helemaal voorbereid en je kunt hem op je eigen computer of laptop draaien. Zo heb je de beschikking over je eigen kwetsbare server, waar geen andere deelnemers op zitten. Deze downloadbare kwetsbare machines vind je bijvoorbeeld op de website vulnhub.com, hier staan inmiddels meer dan driehonderd .iso-bestanden op die elk hun eigen uitdaging en moeilijkheid hebben.

Soorten CFT challenges

Er zijn verschillende soorten challenges. Bij reverse engineering krijg je meestal een bestand, een uitvoerbaar programma, dat je lokaal kunt draaien. Met de juiste input voor het programma wordt uiteindelijk de flag onthuld. Door het reverse engineeren van het programma leer je hoe het algoritme werkt en weet je welke input je moet geven om de flag te vinden.

Bij cryptochallenges gaat het om cryptografie, vaak uiteenlopend van simpele of zelfgemaakte encryptie tot zwakke random generators. Maar het kan ook heel geavanceerd en wiskundig worden, waarbij je snel het spoor bijster bent als je niet volledig van dit soort technieken op de hoogte bent.

Bij pwning challenges krijg je meestal ook een uitvoerbaar programma, maar ook een ip-adres en een poort waar het programma op een server draait. Met het uitvoerbare bestand kun je lokaal proberen om het programma te exploiten en zo remote code execution te krijgen. Vervolgens gebruik je je ontwikkelde exploit code om op afstand een toepassing binnen te dringen en een actie uit te voeren. Als je op de server gekomen bent, kun je het bestand met de flag vinden en uitlezen. Vaak lopen deze challenges uiteen van een simpele buffer overflow tot erg geavanceerde heap overflows.

Een forensics challenge kent allerlei varianten. Bij een memory dump is het de bedoeling om een bestand te analyseren en bijvoorbeeld alle gebruikersnamen en wachtwoorden die op het moment van de dump in het geheugen van die computer waren geladen, eruit te halen. Bij netwerk packet analyse moet je analyseren hoe de communicatie tussen twee servers eruitzag en moet je bijvoorbeeld een gebruikersnaam en wachtwoord die in deze communicatie werd meegestuurd, vinden. De flag kun je vinden door de verborgen informatie uit de bestanden te lezen, alsof je een forensisch onderzoek aan het doen bent. Voor beginners zijn deze challenges vaak lastig.

Web challenges werken aan de hand van URL’s en kennen challenges zoals authenticatie bypass; het omzeilen van het inloggen met een gebruikersnaam en wachtwoord, en SQL- of XML-injections.

De IoT- (Internet Of Things) challenges zul je vaker bij een bedrijf of organisatie op kantoor vinden, omdat je hiervoor fysiek toegang tot het IoT-apparaat nodig hebt. Vaak is dit een combinatie van een web challenge, omdat er een administrator interface op zit, reverse engineering, omdat de firmware onderzocht kan worden, en een hardwarehack via bijvoorbeeld de netwerkaansluiting of UART, een seriële poort op een IoT-apparaat.

©PXimport

Er zijn eigenlijk twee veelvoorkomende soorten CTF’s. Namelijk Jeopardy-stijl CTF’s en attack/defense-CTF’s. Er zijn CTF’s die meer lijken op een werkelijke security penetratietest en er zijn gemengde competities; een combinatie van meerdere soorten CTF’s.

Bij de Jeopardy-stijl CTF is het de bedoeling om verschillende opdrachten (challenges) op te lossen van verschillende categorieën. Vaak kun je jezelf door het oplossen van de challenges toegang verschaffen tot een server, waar je dan een bepaalde tekst kunt vinden, die vlag (flag) heet. Vandaar ook de naam ‘capture the flag’. Deze flag kun je vervolgens uploaden als bewijs dat je de challenge gehaald hebt. Hiermee verdien je punten voor jezelf of je team.

De attack-/defense- CTF’s werken anders. Vaak worden ze gespeeld in teamverband. Elk team heeft zijn eigen kwetsbare servers en services. Als team moet je je eigen systeem verdedigen tegen andere teams die jouw systeem aanvallen. Tegelijkertijd kun je als team de server van andere teams proberen aan te vallen.

Bij de penetratietest-CTF probeer je individueel of met een team via vooraf bepaalde kwetsbaarheden een systeem binnen te komen. Een aantal veelvoorkomende kwetsbaarheden zijn het gebruik van zwakke wachtwoorden, gedeelde harde schijven zonder de juiste ACL’s, gesimuleerde eindgebruikers of bufferoverflows. Ook bij deze vorm van CTF is het niet toegestaan om elkaar aan te vallen, maar alleen de machines die voor de CTF beschikbaar zijn gemaakt.

De Jeopardy-stijl CTF’s gaan vaak over meer dan security alleen. Er komen ook veel raadsels en wiskundige breinkrakers in voor. De verschillende categorieën waarin challenges voorkomen zijn onder meer reverse engineering, cryptografie, pwning, forensics, web, IoT enzovoort. Hoe meer challenges je weet op te lossen, hoe moeilijker ze zullen worden. Moeilijker challenges leveren meer punten op. Degene met de meeste punten wint. Het is bij de Jeopardy-stijl CTF overigens niet toegestaan om elkaar aan te vallen, iedereen gebruikt over het algemeen zijn eigen laptop en logt in op de server of servers waar de challenges op staan.

Online CTF’s

Wil je zelf aan de slag met CTF, dan is een online-variant het makkelijkst om mee te beginnen. Er zijn wel honderden voorbeelden te noemen van websites die CTF’s hosten. Hier noemen we een aantal van de grootste en meestgebruikte websites.

Google heeft een CTF waarbij de beste tien teams na een online kwalificatieronde uitgenodigd worden om onsite de finale te spelen. En hier zijn leuke prijzen te winnen, maar het begint wel eerst online en daar kan iedereen aan mee doen.

CTF time is gemaakt door de CTF-community voor de CTF-community. Hier vind je CTF’s zowel online als offline, die binnenkort zullen plaatsvinden. Hoe en waar je je kunt inschrijven staat er ook, net als historische CTF-events en onder meer de ranglijst van deelnemende CTF-teams.

Overthewire is een verzameling van zogenoemde wargames. Elke challenge is te bereiken via een eigen ssh-poort. Er zijn verschillende levels die steeds moeilijker worden naarmate je verder komt. De Bandit-challenge is uitermate geschikt voor iedereen die net begint.

©PXimport

W3challs is een trainingsplatform met verschillende realistische challenges met verschillende moeilijkheidsgraden (easy, medium, hard). Deze heeft ook een forum waar je met andere deelnemers over de challenges kunt discussiëren.

Root-Me heeft meer dan 200 hack-challenges en ook nog 50 virtuele omgevingen waar je je skills kunt oefenen.

Op Hackthebox staan zowel kwetsbare servers als challenges in verschillende categorieën. Toegang krijgen tot de website is al een challenge op zich. Er zijn teams en ruim 150.000 mensen van over de hele wereld die dagelijks proberen de challenges te kraken.

Onsite CTF’s

Nog leuker is het natuurlijk om een on-site CTF bij te wonen of zelf aan deel te nemen. Er is een aantal bekende CTF’s. Secure by design organiseert elk jaar een CTF waar ongeveer 250 deelnemers op afkomen. Afgelopen jaren was het een uitgebreide penetratietest-stijl CTF in een studio in Hilversum.

Het Platform voor InformatieBeveiliging organiseert ook jaarlijks een CTF in Jeopardy-stijl. Aan meedoen zitten wel wat kosten verbonden, tenzij je lid bent, maar daarvoor krijg je wel een gezellige avond waar veel mensen aan deelnemen.

Hack in the box is een jaarlijkse hackingconferentie in Nederland, waar naast de conferentie ook een CTF wordt georganiseerd. Tijdens het tweedaags evenement wordt in teamverband geprobeerd de Jeopardy-stijl CTF te hacken.

Nog leuker is meedoen aan de CTF tijdens een van de hackingconferentie in de Verenigde Staten, zoals het eerder genoemde Def Con. Hiervoor moet je wel naar de VS, maar naast de CTF kun je ook de conferentie zelf bezoeken en er zijn leuke prijzen te winnen.

Tekst:Joost van ‘t Zand

Black Friday, Sinterklaas en kerst: juist nu zoeken we online massaal naar cadeaus en goede deals. Criminelen liften daarop mee. Door de snelle ontwikkeling van AI lijken nepwebwinkels, bezorgingsmails en misleidende aanbiedingen overtuigender dan ooit. Dit kun je doen om veilig te blijven.

Partnerbijdrage - in samenwerking met Bitdefender

Hoe criminelen inspelen op het feestdagenseizoen

In deze weken draait veel om gemak en tempo. Dat geeft cybercriminelen speelruimte. Ze bouwen webshops die nauwelijks te onderscheiden zijn van echte winkelketens en sturen meldingen over betalingen of zendingen die eruitzien alsof ze direct van een pakketdienst komen. Dankzij AI zijn die berichten foutloos, strak vormgegeven en arriveren ze precies op het moment waarop jij druk bent met bestellen.

Dit kun je zelf doen

Veilig shoppen heb je voor een groot deel zelf in de hand. Met een paar simpele checks kom je al een heel eind.

❗Kijk naar het webadres en let op namen die nét anders gespeld zijn of vreemde toevoegingen bevatten. Goed om te weten: een slotje en https betekenen alleen dat de verbinding versleuteld is, niet dat de winkel betrouwbaar is.
❗Staan er keurmerken op de site, bijvoorbeeld van Thuiswinkel Waarborg of Webshop Keurmerk? Klik daar dan op. Als ze echt zijn, word je doorgeleid naar de site van het keurmerk en zie je het certificaat dat aan de webwinkel is afgegeven.
❗Heb je je bestelling geplaatst en is het tijd om te betalen? Doe dat dan bij voorkeur via iDEAL of een creditcard met kopersbescherming, zodat je bij problemen sterker staat. Ontvang je een link in een mail of sms die verwijst naar een betaalpagina of inlogscherm? Ga dan zelf naar de website via je browser of de officiële app. Zo voorkom je dat je ongemerkt op een nagemaakte site terechtkomt.

©ID.nl

Het kan altijd veiliger

Met de hierboven beschreven checks kun je al veel problemen voorkomen, maar dan nog kan het fout gaan. Bitdefender helpt door juist op de momenten waarop je zelf iets over het hoofd kunt zien mee te kijken.

Twijfels? Meteen scannen met Scamio

Wanneer je twijfelt over een link, QR-code of bericht kan Scamio uitkomst bieden, een gratis tool van Bitdefender. Je plakt een link of tekst in de chat of uploadt een screenshot van een mail of bericht. Scamio analyseert de inhoud en geeft een beoordeling in drie kleuren: rood (onveilig), oranje (verdacht) of groen (geen risico gevonden).

Je hebt alleen een Bitdefender-account nodig. Daarna kun je Scamio gebruiken via de web-app, WhatsApp, Facebook Messenger of Discord. Op de achtergrond vergelijkt de tool links met bekende scam-databases, analyseert hij de opbouw van websites en ontleedt hij QR-codes voordat jij ze hoeft te scannen. Dankzij zelflerende algoritmes blijft Scamio actueel, ook wanneer criminelen nieuwe trucs inzetten.

Zo beschermt Bitdefender je tijdens het shoppen

Naast Scamio biedt Bitdefender Premium Security een breed pakket aan bescherming. Het beveiligt Windows-, macOS-, Android- en iOS-apparaten tegen virussen, malware, ransomware en cryptomining. De e-mailbeveiliging herkent misleidende berichten en houdt verdachte bijlagen tegen. Functies voor het opsporen van oplichting signaleren gedrag dat past bij fraude, zoals nagemaakte betaalpagina's of nepaanbiedingen.

Scam Copilot kijkt realtime mee terwijl je shopt en waarschuwt wanneer een website, aanbieding of link niet klopt. Voor privacy biedt Premium Security een Password Manager, onbeperkt VPN-verkeer en een advertentieblokker met anti-tracker. Voor je identiteit monitort Bitdefender datalekken en laat het direct weten wanneer jouw gegevens opduiken.

©Bitdefender

Fijne – veilige! – feestdagen

Met een paar kleine handelingen kun je er zelf al voor zorgen dat je zo veilig mogelijk online shopt. Bitdefender voegt daar een slimme laag aan toe die zich aanpast aan de nieuwste trucs van criminelen. Zo blijf je zorgeloos shoppen, van de eerste Black Friday-deal totdat het laatste cadeau onder de boom ligt!

Voor veel mensen is hun e-mailprogramma nog altijd het belangrijkste digitale hulpmiddel, maar lang niet iedereen haalt alles eruit. En dat kost tijd. Veel handmatig terugkerende taken kun je automatiseren. Of het nu gaat om het sorteren van berichten, het opstellen van standaardantwoorden of het plannen van verzendtijden: over al deze opties beschikt jouw mailprogramma al.

Misschien vind je dit ook interessant: 10 e-mailhacks: van overvolle inbox naar opgeruimd staat netjes

Een overvolle inbox leidt niet alleen tot stress, maar kost ook veel tijd bij het zoeken naar belangrijke berichten. Door slimme filters in te stellen, komt daar verandering in. Filters zorgen ervoor dat binnenkomende e-mails automatisch worden gesorteerd, gelabeld of doorgestuurd op basis van door jou bepaalde criteria.

In Gmail vind je deze functie via het tandwielpictogram rechtsboven. Klik op het radertje voor instellingen en daarna op Alle instellingen bekijken. Ga vervolgens naar het tabblad Filters en geblokkeerde adressen. Kies voor Nieuw filter maken.

In Outlook vind je vergelijkbare mogelijkheden via het menu met het radertje en het tabblad E-mail. Klik op Regels en dan op Nieuwe regel toevoegen. In Apple Mail ga je naar Mail in de menubalk, kies je voor Instellingen en klik je op het tabblad Regels.

Opgeruimd staat netjes

Het instellen van een effectieve filter begint met het bepalen van je specifieke behoeften. Wil je bijvoorbeeld alle berichten van je team in een aparte map verzamelen? Stel dan een filter in dat zoekt naar e-mailadressen met het domein van je bedrijf en deze automatisch verplaatst naar een speciale teammap.

Voor frequente nieuwsbrieven kun je een filter maken dat alle e-mails met 'nieuwsbrief' in de onderwerpregel naar een toegewezen map verplaatst. Een praktische toepassing is het automatisch labelen van e-mails waarin bepaalde projectcodes voorkomen. Als je bijvoorbeeld werkt aan 'Project Phoenix', kun je een filter instellen dat alle e-mails met deze term in het onderwerp of de inhoud voorziet van een specifiek label of verplaatst naar de projectmap. Experimenteer met verschillende filtercriteria om te ontdekken welke combinatie het beste werkt voor jouw specifieke workflow.

Handtekeningen

Handtekeningen doen meer dan alleen contactgegevens weergeven; ze kunnen dynamische informatie bevatten die automatisch wordt aangepast op basis van de ontvanger of het tijdstip. In Outlook ga je naar Bestand / Opties / E-mail / Handtekeningen om geavanceerde handtekeningen te maken. Gmail-gebruikers vinden deze functie onder Instellingen / Algemeen / Handtekening. Apple Mail biedt handtekeningopties via Mail / Instellingen / Handtekeningen.

Een fijne functie is het gebruik van voorwaardelijke handtekeningen. In Outlook kun je bijvoorbeeld verschillende handtekeningen maken en deze koppelen aan specifieke e-mailaccounts of zelfs aan bepaalde ontvangers. Zo kun je een formele handtekening gebruiken voor externe communicatie en een informelere voor interne berichten. De variabelen in Outlook (zoals %Company% of %Phone%) worden automatisch gevuld met informatie uit je profiel, wat zorgt voor consistentie en tijdsbesparing bij het onderhouden van je contactinformatie.

Overweeg om html-elementen toe te voegen aan je handtekening voor een professionelere uitstraling. Voeg bijvoorbeeld een gepersonaliseerde afspraaklink toe die rechtstreeks naar je agenda verwijst, zodat ontvangers met één klik een vergadering kunnen plannen. Of integreer een dynamische banner die je nieuwste producten of diensten promoot. Ook kun je informatieve links naar veelgestelde vragen of kennisartikelen opnemen, wat het aantal routinevragen in je inbox kan verminderen. Zorg er wel voor dat je handtekening niet te groot of afleidend wordt – houd het professioneel en functioneel.

Uitgestelde verzending

Het timen van e-mails kan heel belangrijk zijn voor de effectiviteit ervan. De functie voor uitgestelde verzending stelt je in staat om e-mails voor te bereiden wanneer het jou uitkomt, maar ze te laten bezorgen op een ander moment. In Gmail activeer je deze functie tijdens het opstellen van een bericht door op het kleine driehoekje naast de knop Verzenden te klikken en Verzenden plannen te selecteren. Vervolgens kun je een specifieke datum en tijd kiezen of een van de voorgestelde tijdstippen selecteren.

Outlook-gebruikers kunnen een vergelijkbare functie vinden in het Opties-tabblad tijdens het opstellen van een e-mail. Klik op Verzenden plannen en specificeer wanneer het bericht moet worden verzonden. In Apple Mail klik je ook op het pijltje naast de verzendknop, en vervolgens op Stuur later. Het inplannen van mails is meer dan alleen een technische truc; het is een strategisch communicatiemiddel.

E-mailsjablonen

Het herhaaldelijk typen van vergelijkbare e-mails is een verborgen productiviteitsdief. E-mailsjablonen bieden een elegante oplossing voor dit probleem. In Gmail kun je sjablonen instellen door eerst Geavanceerde instellingen te activeren. Ga naar Instellingen / Geavanceerd en schakel Templates in. Tijdens het opstellen van een e-mail kun je nu via de drie puntjes rechtsonder kiezen voor Templates / Concept opslaan als sjabloon. Bij toekomstig gebruik selecteer je simpelweg het gewenste sjabloon via hetzelfde menu.

Outlook-gebruikers kunnen sjablonen maken door een nieuwe mail te openen, naar Invoegen / Apps / Mijn sjablonen te gaan en op + Sjabloon te klikken. In Apple Mail kun je werken met tekstfragmenten via de ingebouwde tekstvervanging van macOS. Ga naar Systeeminstellingen / Toetsenbord / Tekst en voeg daar je veelgebruikte tekstfragmenten toe met bijbehorende snelkoppelingen.

Herinneringen

Een van de meest onderschatte functies in e-mailprogramma's is de mogelijkheid om automatische herinneringen in te stellen voor berichten waarop je een antwoord verwacht. In Outlook kun je een bericht markeren voor opvolging door op de Opvolgen-vlag te klikken in een geopend bericht. Door met de rechtermuisknop op deze vlag te klikken, kun je een specifieke herinneringsdatum instellen en zelfs aangeven dat je een herinnering wilt ontvangen als je geen antwoord hebt gekregen.

Gmail-gebruikers kunnen de Snooze-functie inzetten om berichten tijdelijk te verbergen en op een later tijdstip weer te laten verschijnen. Klik met de rechtermuisknop op een bericht en selecteer Snoozen. Vervolgens kun je kiezen wanneer het bericht weer in je inbox moet verschijnen.

Voor Apple Mail-gebruikers biedt de ingebouwde Herinnering-functie vergelijkbare mogelijkheden. Selecteer een bericht, klik rechts en kies Herinnering. Vervolgens kun je aangeven wanneer je aan dit bericht herinnerd wilt worden.

Productiever

De functies die we in dit artikel hebben besproken, vormen slechts het topje van de ijsberg als het gaat om de verborgen mogelijkheden van je e-mailprogramma. Door filters en regels in te stellen, creëer je een inbox die automatisch sorteert en prioriteiten stelt. Slimme handtekeningen zorgen voor consistente, professionele communicatie, terwijl uitgestelde verzending garandeert dat je berichten op het optimale moment aankomen.

Met sjablonen elimineer je het repetitieve typewerk en dankzij geautomatiseerde follow-ups blijft geen enkele belangrijke e-mail onbeantwoord. Deze functies werken samen om je dagelijkse e-mailroutine drastisch te versnellen en je communicatie te professionaliseren. Door nu tijd te investeren in het ontdekken en instellen van deze verborgen e-mailkrachten, win je in de toekomst uren aan productieve tijd terug. Die tijd kun je besteden aan echt waardevol werk in plaats van aan het beheren van je inbox.