Hacken kun je leren, maar dit lukt alleen door veel proberen en experimenteren. Door hacken op de juiste manier, bij de juiste organisaties en in een veilige omgeving, help je mee om cybercrime tegen te gaan en mogelijk zelfs op te lossen, zonder de wet te overtreden. Eén van die manieren is een capture the flag-hackcompetitie. Lees hier meer overCTF challenges.

Security CTF’s oftewel capture the flag-competities hebben in deze context niks te maken met schietspelletjes op de computer of met het veroveren van de vlag bij het paintballen. Het zijn uitdagende opdrachten, ook wel challenges genoemd, waarbij je nieuwe hackingtechnieken kunt leren.

Vaak vinden CTF’s plaats tijdens een van de vele securityconferenties over de hele wereld. Al in 1996 werd er een CTF georganiseerd tijdens Def Con, een grote en bekende cyberbeveiligingconferentie die jaarlijks wordt gehouden in Las Vegas. Naarmate het internet groeide, groeide ook de CTF-competities en kon ook het internet gebruikt worden om waar dan ook ter wereld mee te doen. Tegenwoordig zijn CTF’s voor iedereen en overal bereikbaar en kun je online direct deelnemen.

In dit artikel leggen we je uit welke challenges er zijn en hoe je zelf CTF’s kunt vinden om te spelen, zowel online als offline.

Deelnemen aan een CTF

De meeste deelnemers aan CTF’s zijn hackers of hebben ervaring met hacken. Maar er komen ook veel studenten die een IT-opleiding volgen, al dan niet in de richting van security. Uiteraard is er ook niks mis mee om als volledige nieuweling mee te doen aan CTF’s, er is altijd wel iemand die je wil helpen of waar je bij kunt aanschuiven om mee te kijken en wat van kunt leren.

Uiteindelijk leer je wel het meest door het zelf te doen en proberen. Maar in het begin is het erg lastig, je weet niks en het lukt je maar niet om de challenges op te lossen. Maar aan het einde van elke CTF worden er write-ups gemaakt door de deelnemers, een volledige beschrijving van hoe anderen een challenge hebben weten op te lossen. Vaak voorzien van de gebruikte exploitcode, korte video’s of een complete stap-voor-stap YouTube-video. Deze zijn heel leerzaam en het beste kun je in het begin veel van deze beschrijvingen lezen en video’s bekijken om het zelf proberen na te doen, zodat je begrijpt hoe het moet en hoe het kan, en je daarna zelf mee aan de slag kunt.

Vaak zijn er aan de online CTF’s ook forums en IRC-kanalen verbonden. Hier worden de verschillende challenges besproken, maar altijd zonder dat er echt een hint of antwoord wordt prijsgegeven. Vragen naar flags, oplossingen of hints is niet netjes en vaak zelfs niet toegestaan. Zeker niet wanneer het voor anderen ook te lezen is.

Benodigdheden

Om mee te kunnen doen aan de online CTF’s, moet je weten waar ze te vinden zijn, vaak moet je een account aanmaken om in te kunnen loggen zodat ook je scores bijgehouden kunnen worden. Voor de Jeopardy stijl-challenges (uitleg verderop) heb je vaak niet meer nodig dan je computer of laptop en toegang tot de website. Bij de attack/defense- of penetratie-challenges heb je vaak een installatie van Kali nodig, het besturingssysteem voor hackingdoeleinden. Daarop zijn dan ook veel programma’s en tools te vinden die je nodig hebt. Overige tools kun je downloaden van bijvoorbeeld Github op het moment dat je ze nodig hebt.

Bekende tools zijn Nmap voor een eerste scan om informatie over porten en services te vinden, het Linux-tooltje smbclient voor meer informatie over samba shares, Wireshark voor het analyseren van netwerkverkeer, Nikto om webservers te scannen, hashcat voor het decoderen van wachtwoorden en sqlmap om geautomatiseerd SQL-injections te ontdekken.

©PXimport

Je kunt ook een volledige virtuele machine om mee te oefenen downloaden, die worden vaak als iso-bestand aangeboden. De machine is al helemaal voorbereid en je kunt hem op je eigen computer of laptop draaien. Zo heb je de beschikking over je eigen kwetsbare server, waar geen andere deelnemers op zitten. Deze downloadbare kwetsbare machines vind je bijvoorbeeld op de website vulnhub.com, hier staan inmiddels meer dan driehonderd .iso-bestanden op die elk hun eigen uitdaging en moeilijkheid hebben.

Soorten CFT challenges

Er zijn verschillende soorten challenges. Bij reverse engineering krijg je meestal een bestand, een uitvoerbaar programma, dat je lokaal kunt draaien. Met de juiste input voor het programma wordt uiteindelijk de flag onthuld. Door het reverse engineeren van het programma leer je hoe het algoritme werkt en weet je welke input je moet geven om de flag te vinden.

Bij cryptochallenges gaat het om cryptografie, vaak uiteenlopend van simpele of zelfgemaakte encryptie tot zwakke random generators. Maar het kan ook heel geavanceerd en wiskundig worden, waarbij je snel het spoor bijster bent als je niet volledig van dit soort technieken op de hoogte bent.

Bij pwning challenges krijg je meestal ook een uitvoerbaar programma, maar ook een ip-adres en een poort waar het programma op een server draait. Met het uitvoerbare bestand kun je lokaal proberen om het programma te exploiten en zo remote code execution te krijgen. Vervolgens gebruik je je ontwikkelde exploit code om op afstand een toepassing binnen te dringen en een actie uit te voeren. Als je op de server gekomen bent, kun je het bestand met de flag vinden en uitlezen. Vaak lopen deze challenges uiteen van een simpele buffer overflow tot erg geavanceerde heap overflows.

Een forensics challenge kent allerlei varianten. Bij een memory dump is het de bedoeling om een bestand te analyseren en bijvoorbeeld alle gebruikersnamen en wachtwoorden die op het moment van de dump in het geheugen van die computer waren geladen, eruit te halen. Bij netwerk packet analyse moet je analyseren hoe de communicatie tussen twee servers eruitzag en moet je bijvoorbeeld een gebruikersnaam en wachtwoord die in deze communicatie werd meegestuurd, vinden. De flag kun je vinden door de verborgen informatie uit de bestanden te lezen, alsof je een forensisch onderzoek aan het doen bent. Voor beginners zijn deze challenges vaak lastig.

Web challenges werken aan de hand van URL’s en kennen challenges zoals authenticatie bypass; het omzeilen van het inloggen met een gebruikersnaam en wachtwoord, en SQL- of XML-injections.

De IoT- (Internet Of Things) challenges zul je vaker bij een bedrijf of organisatie op kantoor vinden, omdat je hiervoor fysiek toegang tot het IoT-apparaat nodig hebt. Vaak is dit een combinatie van een web challenge, omdat er een administrator interface op zit, reverse engineering, omdat de firmware onderzocht kan worden, en een hardwarehack via bijvoorbeeld de netwerkaansluiting of UART, een seriële poort op een IoT-apparaat.

©PXimport

Er zijn eigenlijk twee veelvoorkomende soorten CTF’s. Namelijk Jeopardy-stijl CTF’s en attack/defense-CTF’s. Er zijn CTF’s die meer lijken op een werkelijke security penetratietest en er zijn gemengde competities; een combinatie van meerdere soorten CTF’s.

Bij de Jeopardy-stijl CTF is het de bedoeling om verschillende opdrachten (challenges) op te lossen van verschillende categorieën. Vaak kun je jezelf door het oplossen van de challenges toegang verschaffen tot een server, waar je dan een bepaalde tekst kunt vinden, die vlag (flag) heet. Vandaar ook de naam ‘capture the flag’. Deze flag kun je vervolgens uploaden als bewijs dat je de challenge gehaald hebt. Hiermee verdien je punten voor jezelf of je team.

De attack-/defense- CTF’s werken anders. Vaak worden ze gespeeld in teamverband. Elk team heeft zijn eigen kwetsbare servers en services. Als team moet je je eigen systeem verdedigen tegen andere teams die jouw systeem aanvallen. Tegelijkertijd kun je als team de server van andere teams proberen aan te vallen.

Bij de penetratietest-CTF probeer je individueel of met een team via vooraf bepaalde kwetsbaarheden een systeem binnen te komen. Een aantal veelvoorkomende kwetsbaarheden zijn het gebruik van zwakke wachtwoorden, gedeelde harde schijven zonder de juiste ACL’s, gesimuleerde eindgebruikers of bufferoverflows. Ook bij deze vorm van CTF is het niet toegestaan om elkaar aan te vallen, maar alleen de machines die voor de CTF beschikbaar zijn gemaakt.

De Jeopardy-stijl CTF’s gaan vaak over meer dan security alleen. Er komen ook veel raadsels en wiskundige breinkrakers in voor. De verschillende categorieën waarin challenges voorkomen zijn onder meer reverse engineering, cryptografie, pwning, forensics, web, IoT enzovoort. Hoe meer challenges je weet op te lossen, hoe moeilijker ze zullen worden. Moeilijker challenges leveren meer punten op. Degene met de meeste punten wint. Het is bij de Jeopardy-stijl CTF overigens niet toegestaan om elkaar aan te vallen, iedereen gebruikt over het algemeen zijn eigen laptop en logt in op de server of servers waar de challenges op staan.

Online CTF’s

Wil je zelf aan de slag met CTF, dan is een online-variant het makkelijkst om mee te beginnen. Er zijn wel honderden voorbeelden te noemen van websites die CTF’s hosten. Hier noemen we een aantal van de grootste en meestgebruikte websites.

Google heeft een CTF waarbij de beste tien teams na een online kwalificatieronde uitgenodigd worden om onsite de finale te spelen. En hier zijn leuke prijzen te winnen, maar het begint wel eerst online en daar kan iedereen aan mee doen.

CTF time is gemaakt door de CTF-community voor de CTF-community. Hier vind je CTF’s zowel online als offline, die binnenkort zullen plaatsvinden. Hoe en waar je je kunt inschrijven staat er ook, net als historische CTF-events en onder meer de ranglijst van deelnemende CTF-teams.

Overthewire is een verzameling van zogenoemde wargames. Elke challenge is te bereiken via een eigen ssh-poort. Er zijn verschillende levels die steeds moeilijker worden naarmate je verder komt. De Bandit-challenge is uitermate geschikt voor iedereen die net begint.

©PXimport

W3challs is een trainingsplatform met verschillende realistische challenges met verschillende moeilijkheidsgraden (easy, medium, hard). Deze heeft ook een forum waar je met andere deelnemers over de challenges kunt discussiëren.

Root-Me heeft meer dan 200 hack-challenges en ook nog 50 virtuele omgevingen waar je je skills kunt oefenen.

Op Hackthebox staan zowel kwetsbare servers als challenges in verschillende categorieën. Toegang krijgen tot de website is al een challenge op zich. Er zijn teams en ruim 150.000 mensen van over de hele wereld die dagelijks proberen de challenges te kraken.

Onsite CTF’s

Nog leuker is het natuurlijk om een on-site CTF bij te wonen of zelf aan deel te nemen. Er is een aantal bekende CTF’s. Secure by design organiseert elk jaar een CTF waar ongeveer 250 deelnemers op afkomen. Afgelopen jaren was het een uitgebreide penetratietest-stijl CTF in een studio in Hilversum.

Het Platform voor InformatieBeveiliging organiseert ook jaarlijks een CTF in Jeopardy-stijl. Aan meedoen zitten wel wat kosten verbonden, tenzij je lid bent, maar daarvoor krijg je wel een gezellige avond waar veel mensen aan deelnemen.

Hack in the box is een jaarlijkse hackingconferentie in Nederland, waar naast de conferentie ook een CTF wordt georganiseerd. Tijdens het tweedaags evenement wordt in teamverband geprobeerd de Jeopardy-stijl CTF te hacken.

Nog leuker is meedoen aan de CTF tijdens een van de hackingconferentie in de Verenigde Staten, zoals het eerder genoemde Def Con. Hiervoor moet je wel naar de VS, maar naast de CTF kun je ook de conferentie zelf bezoeken en er zijn leuke prijzen te winnen.

Tekst:Joost van ‘t Zand

Voor miljoenen gebruikers was Microsoft Paint de eerste stap richting digitale creativiteit. Kinderen tekenden er hun eerste computerkunstwerkjes in, volwassenen plakten er snel iets functioneels mee in elkaar. Sinds Windows 11 is Paint door de toevoeging van AI-functies en de ondersteuning van lagen veel slimmer geworden, zonder zijn eenvoud te verliezen.

Geen download, geen licentie en altijd beschikbaar … Paint is er al sinds de vroegste Windows-versies en het is er nog altijd. Hoewel de mogelijkheden beperkt zijn, blijft het geliefd om zijn eenvoud en simpele bediening of puur vanwege nostalgie. Zelfs wie zwaardere grafische software heeft, grijpt vaak terug naar Paint om snel iets te tekenen, een schermafbeelding bij te snijden of iets te markeren. Met de nieuwe functies groeit het programma uit tot meer dan een digitaal speeltje. 

Image Creator

Met Image Creator maak je in Paint rechtstreeks afbeeldingen door simpelweg te beschrijven wat je voor je ziet. De functie gebruikt het DALL·E-model van OpenAI voor tekst-naar-beeldgeneratie. Open Microsoft Paint en klik bovenaan op Copilot. Selecteer vervolgens Image Creator om het zijvenster te openen. In de interface van Cocreator verschijnt een tekstvak waarin je beschrijft wat je wilt zien en in welke stijl. Hoe preciezer en gedetailleerder je bent, hoe beter het resultaat aansluit bij je verwachtingen.

Kies vervolgens een stijl – bijvoorbeeld Houtskool, Ink Sketch, Anime, Fotorealistisch of een andere – en klik op Maken. Image Creator genereert telkens drie varianten van je afbeelding. Selecteer de versie die je het meest bevalt om die meteen op het canvas te plaatsen.

Achtergronden

Een veelvoorkomende taak in beeldbewerking is het isoleren van een onderwerp uit de achtergrond. Met de functie Achtergrond verwijderen wordt dat verrassend eenvoudig. Houd er wel rekening mee dat deze functie niet zo verfijnd werkt als in Photoshop. Bij fijne details zoals haartjes, takjes of kleine blaadjes kan Paints AI soms een wat grof resultaat opleveren.

Ook hier start je via het pictogram Copilot. Kies vervolgens Achtergrond verwijderen. Paint analyseert het beeld en probeert automatisch te bepalen wat het onderwerp is en wat tot de achtergrond behoort. Aan de rechterkant verschijnt een miniatuurvoorbeeld waarin de achtergrond vervangen is door een schaakbordpatroon. Dat is de standaardweergave voor transparantie.

Onderaan in de zijbalk staat een vierkant pictogram. Als je daarop klikt, verschijnt hetzelfde schaakbordpatroon ook in de grote afbeelding. Je kunt via dit pictogram ook een achtergrondkleur kiezen in plaats van transparantie. Wil je een afbeelding opslaan met transparantie (bijvoorbeeld nadat je een achtergrond hebt verwijderd), dan moet je een bestandsformaat gebruiken dat transparantie ondersteunt. Het veelgebruikte jpg-formaat doet dat niet. Kies in dat geval voor png, dat wel transparante achtergronden kan bewaren.

Generatief wissen

Je kunt ook het selectiegereedschap linksboven gebruiken om een object in de afbeelding te verwijderen. Kies hiervoor het gereedschap Rechthoekige selectie of Vrije vorm selectie. Zodra je een gebied hebt geselecteerd, verschijnt er een klein contextmenu naast de selectie. Kies daar de optie Generatief wissen.

Je vindt deze functie ook via de knop Copilot. Vervolgens zie je een blauwe rechthoekige animatie rond het geselecteerde object. Paint analyseert de omgeving en vervangt het object door een realistisch ogende achtergrond die past bij de rest van de afbeelding.

Lagen

Lagen: verwijderen

De nieuwe Microsoft Paint (vanaf versie 11.2306.30.0 op Windows 11) ondersteunt lagen. Dit is een belangrijke stap richting meer geavanceerde beeldbewerking. Lagen werken als transparante vellen met afzonderlijke elementen die je op elkaar stapelt. Elke laag kun je apart bewerken zonder de andere lagen te beïnvloeden. Dat biedt veel meer controle en flexibiliteit tijdens het creatieproces. We tonen dit met een voorbeeld.

We beginnen met een afbeelding van een meisje. Via Copilot / Achtergrond verwijderen halen we de achtergrond weg. Klik je vervolgens bovenaan op de knop Lagen, dan zie je dat de achtergrond is vervangen door het schaakbordpatroon.

Lagen: combineren

Achter het meisje willen we nu een nieuwe achtergrond plaatsen. Daarvoor klik je in bij Lagen op het plusteken, zodat er een tweede, transparante laag wordt toegevoegd. Klik op de miniatuur van deze nieuwe laag om die actief te maken. Vervolgens gebruik je de opdracht Bestand / Importeren naar canvas / Uit een bestand om een nieuwe afbeelding - de achtergrond - toe te voegen op deze tweede laag. Let op, als je vergeet eerst de juiste laag te selecteren vóór je importeert, wordt de laag met het meisje overschreven door de nieuwe afbeelding.

In Lagen kun je de laagvolgorde wijzigen door te slepen. Zorg ervoor dat de laag met het meisje boven de achtergrondlaag staat. Op die manier verschijnt het meisje op de voorgrond in een nieuwe omgeving. Wil je het meisje nog wat naar links of rechts verplaatsen? Druk dan op Ctrl+A om alles in de actieve laag te selecteren. Vervolgens verschijnt de verplaatsingshandgreep, waarmee je het onderwerp kunt verschuiven.

Lagen: manipuleren

Wanneer je met de rechtermuisknop op Lagen klikt, dan zie je zes mogelijkheden. Je kunt de laag verbergen. Dan verschijnt er in de rechterbovenhoek van de miniatuur een oogje dat doorstreept is. Als je op dit pictogram klikt, wordt deze verborgen laag opnieuw zichtbaar. Je kunt ook de opdracht Ctrl+H (met de H van hide) gebruiken om de geselecteerde laag te verbergen.

De opdracht Dubbele laag kies je als je een laag wilt dupliceren. De opdracht Samenvoegen naar beneden gebruik je wanneer je klaar bent, om alle laaginformatie te bundelen in één laag. Dat is vooral nuttig als je de afbeelding wilt opslaan in een formaat dat geen lagen ondersteunt. De opties Naar boven en Naar beneden gebruik je om lagen te verplaatsen. Persoonlijk slepen we de lagen liever in het deelvenster. En ten slotte is er de opdracht Laag verwijderen.

Lagen: tekst toevoegen

Je kunt ook tekst toevoegen op een aparte laag. Zorg er eerst voor dat je een nieuwe, lege laag aanmaakt via het plusteken in het lagenvenster voordat je het tekstgereedschap gebruikt. Zodra je met het tekstgereedschap op het canvas klikt, verschijnt er een extra werkbalk waarin je het lettertype, de lettergrootte en de stijl instelt. Via een schuifregelaar kies je een lettergrootte tussen 8 en 72 pt. Let wel: bij foto's blijkt zelfs 72 pt vaak te klein. Je kunt dit oplossen door handmatig een groter getal in te voeren in het veld voor lettergrootte.

In ons voorbeeld kozen we een lettergrootte van 800 pt. In de knoppenbalk bovenaan kun je zowel de tekstkleur als de achtergrondkleur van het tekstvak instellen. Klik op de bovenste grote kleurcirkel om de tekstkleur te kiezen via de kleurstalen of de kleurkiezer. Klik op de onderste kleurcirkel om een achtergrondkleur voor het tekstvak te selecteren. In de tekstwerkbalk moet je de optie Opvulling voor achtergrond activeren als je wilt dat de tekstachtergrondkleur zichtbaar moet zijn.

Paint is groot geworden

Kijk je naar de nieuwe mogelijkheden in Paint, dan kun je gerust zeggen dat het programma volwassen is geworden. Het is nog steeds even laagdrempelig als vroeger, maar inmiddels wel uitgerust met een AI-brein en een flink aantal nieuwe functies. Of je nu snel iets wilt knutselen of een slimme bewerking wilt uitvoeren met lagen en AI, Paint laat zien dat zelfs oude software prima meekan met de tijd. En het mooiste? Je hoeft niets te installeren of te betalen. Gewoon openen, klikken en creëren. Met of zonder AI-hulp, die keuze is aan jou!

Het is bijna kerst en tussen het regelen van de laatste boodschappen door kijk je om je heen. De post ligt nog op tafel, er slingert speelgoed rond en een grote schoonmaak gaat niet meer lukken. Toch wil je dat je gasten in een net huis binnenkomen. Met een strak plan kun je in precies zestig minuten de perfecte illusie van een schoon huis creëren. Zet de timer, doe je favoriete muziek aan en ga aan de slag.

Je begint waar je gasten binnenkomen. De hal is vaak een rommelige plek, zeker in de winter. Pak een grote mand of krat en gooi daar alles in wat er niet hoort: sjaals die niemand draagt, post, sleutels en rondslingerende tassen. Zet die mand tijdelijk weg in de berging, schuur of desnoods in je eigen kledingkast. Zorg dat er ruimte is aan de kapstok voor de jassen van je bezoek. Klop de deurmat even krachtig buiten uit en haal de stofzuiger snel door de gang. Als je hierna nog dertig seconden over hebt, veeg je met een doekje over de spiegel. Een schone spiegel en een lege vloer geven direct bij binnenkomst al het gevoel van een opgeruimd huis.

De woonkamer: sfeer boven perfectie

Door naar de plek waar jullie de meeste tijd zullen doorbrengen. In de woonkamer geldt nu de regel: opruimen is belangrijker dan boenen. Loop een rondje met een vuilniszak voor alles wat weg kan en een wasmand voor spullen die naar een andere kamer moeten. Maak de salontafel en bijzettafels helemaal leeg. Een leeg oppervlak oogt namelijk direct schoon, zelfs als je niet nat afneemt. Schud daarna de kussens op de bank flink op en vouw plaids netjes op. Haal de stofzuiger alleen door het midden van de kamer en langs de bank; vergeet de hoekjes en plinten, want daar kijkt vanavond niemand naar.

©Евгения Рубцова

Het toilet: kort maar krachtig

Dit is de enige plek waar je gasten echt even alleen zijn en stilzitten, dus hier moet het wel fris zijn. Gelukkig is de ruimte klein. Spuit wc-reiniger in de pot en laat dit even inwerken terwijl je de rest doet. Gebruik een wegwerpdoekje of een sopje voor de bril, de spoelknop, de deurklink en de kraan. Hang een schone handdoek op en controleer of er voldoende toiletpapier ligt. Heb je nog een geurkaarsje of geurstokjes? Zet die dan hier neer. Als het lekker ruikt, voelt je toilet al snel schoner aan.

Puntjes op de i in de keuken

Je hebt nu nog een kwartier over. Snel door naar de keuken. Zorg allereerst dat het aanrecht helemaal leeg is. Als het niet meer lukt om alles af te wassen, zet je de vuile vaat snel in de vaatwasser, ook als deze eigenlijk al vol is. Een andere slimme noodoplossing is om de vaat tijdelijk in een keukenkastje te verstoppen. Het gaat erom dat alles uit het zicht is. Haal tot slot nog even een doekje over het aanrecht en de kookplaat zodat alles weer fris oogt.

©APALKOV | MestoSveta - stock.adobe.com

Sfeer maken

Nu is het tijd voor de belangrijkste truc: het aanpassen van de verlichting. Dim de grote lampen en steek overal kaarsen en sfeerverlichting aan. Dat ziet er niet alleen heel gezellig uit, maar dat zachte licht zorgt er ook voor dat achtergebleven stof of verdwaalde kruimels niet meer opvallen. Tot slot doe je nog één ding voor de sfeer. Zet een raam op een kier voor frisse lucht of zet een pannetje op het vuur met wat water, kaneel en sinaasappelschil voor een heerlijke kerstgeur.

Klaar voor de bel

Kijk nu eens om je heen. Je huis is opgeruimd, het ruikt lekker en het is gezellig verlicht. Niemand die ziet dat je de bovenkant van de kasten hebt overgeslagen. Schenk wat te drinken voor jezelf in en adem uit. Laat die bel maar gaan!