Securitywedstrijd Netwars: “No attacking other players”

In een congrescentrum binnen een hotel in Amsterdam, waar normaal zakelijke meetings plaatsvinden, is drum ‘n bass te horen. Eenmaal voor de zaal krijg ik trek door de geur van pizza, maar mijn nieuwsgierigheid wint het: binnen is namelijk geen rave, maar NetWars, een hackwedstrijd. En dat gaat er heel anders aan toe dan een LAN-party of het gemiddelde game-evenement waar ik kom.

De muziek past enerzijds perfect bij het evenement, want het is elektronisch, maar aan de andere kant is het iets te druk misschien. Binnen zitten heel gefocust, maar tegelijkertijd heel ontspannen een stuk of honderd mensen namelijk de wedstrijd te spelen, NetWars. Het is een hackwedstrijd, maar wel eentje in stijl. Eentje waar wel pizza wordt gegeten en hier en daar een biertje op tafel staat, maar waar ook gewoon daglicht naar binnen schijnt vanuit het raam en waar mensen niet op gamebureaustoelen zitten, maar gewoon op congresstoeltjes.

SANS EMEA

Eric, een van de docenten van SANS EMEA, houdt overzicht over de groep. Hij zorgt ervoor dat het scorebord goed toont op de beamer en dat mensen lekker bezig kunnen blijven. Echte antwoorden op de vragen belooft hij niet te geven, maar hij helpt mensen af en toe wel een beetje op weg. Niet te veel, want het programma zelf geeft ook hints. NetWars zijn verschillende hackwedstrijden die zich in diverse landen afspelen en waarvoor je een vrij hoog bedrag moet betalen om mee te mogen doen. Ben je echter SANS-student, dan zit de wedstrijd inbegrepen in je lespakket.

De mensen die bij SANS een cursus volgen, komen veelal uit het bedrijfsleven. Grote bedrijven, overheidsinstanties, het is een heel divers publiek. Er wordt les gegeven in wat een aanvaller doet, wat je aan verdediging kan doen en hoe je het beste van allebei veel kunt weten om zo je beveiliging zo goed mogelijk te maken. Waterdicht wordt het nooit, maar net als bij anti-inbraakbeveiliging op je huis kun je maar beter zoveel mogelijk hordes maken voor kwaadwillenden. Kun je bijvoorbeeld het programma dat de aanvaller gebruikt niet dichtgooien, dan moet je zorgen dat je op je eigen netwerk dingen bouwt om een eventuele aanval te stoppen.

Terug naar de vloer waar de NetWars plaatsvinden. Cursisten die de hele week al les hebben, beginnen daar op een donderdagavond aan hun meer spelenderwijze manier van leren, die hackwedstrijd. Het is volgens Erik een soort pentest, maar pentesters zullen zeggen dat er te veel forensics en analyse inzit. Het enige dat je als deelnemer hoeft mee te brengen, dat is je laptop. Je krijgt een USB-stick met daarop de VM voor in VMware, er is een quick start guide op elke tafel en je krijgt een netwerk aangeboden. Je mag niet gebruikmaken van andere netwerken, het moet het specifieke, beveiligde netwerk van NetWars zijn.

Star Wars

Zit je er eenmaal klaar voor, dan kun je aan je Saga beginnen, want de wedstrijd is geheel in Star Wars-thema. In je virtuele systeem stralen BB-8 en R2-D2 je al toe en je ziet al gauw dat deze Saga uit hoofdstukken bestaat met namen als Jedi Archieves, Probe Droid en Tractor Beam. Je kunt zelfs Dejarik spelen! Je komt wanneer je eenmaal speelt nog veel meer Star Wars-referenties tegen, in onder andere wachtwoorden die je moet zien te ontfutselen. Je krijgt niet per se een grote opdracht, maar juist allemaal kleine. Er komen multiple choice-vragen voorbij waarbij je soms een soort MS Dos-achtig systeem moet gebruiken om het antwoord te kunnen geven.

De regels zijn streng doch rechtvaardig. Hoe vaker je een vraag verkeerd hebt, hoe meer punten je verliest. Dat is pijnlijk. Je wint als je na twee avonden spelen (2 x 3 uur) de speler met de meeste punten bent. Heeft iemand anders evenveel punten, dan wordt er gekeken naar de snelheid en het aantal hints dat je hebt gebruikt om te bepalen wie echt de winnaar is. Er wordt daarin onderscheid gemaakt tussen individuele spelers en teams. Er doen ongeveer zes teams mee, de rest van de deelnemers doet het liever alleen.

Er komen nog wat huishoudelijke mededelingen voorbij voordat iedereen aan de slag kan. “Play nice and don’t break stuff” tot “no attacking or interfering with other players”. Het klinkt alsof de deelnemers op het punt staan elkaar te lijf te gaan, maar dit is natuurlijk allemaal virtueel. Tenminste, ik heb niemand horen praten over gevechten op de NetWars-vloer. Je zou verwachten dat je als deelnemer wel iets mag bouwen waardoor wachtwoorden worden geraden, maar dat is verboden. Andere tools gebruiken dan de tools die worden aangeboden, dat mag dan weer wel.

De klok telt af

De wedstrijd start om 18:00 uur, maar dat gaat niet zoals ik verwachtte. Iedereen begint gewoon rustig aan de challenge, sommigen halen nog even wat drinken, maar niemand gaat als een gek snel dingen opzoeken en rammelen op zijn of haar toetsenbord. Het gaat er erg ontspannen aan toe. Ik weet niet hoe ze het doen, want mijn bloeddruk bereikt het kookpunt al als ik alleen naar de aftellende klok kijk links onderin beeld. Uiteindelijk wordt er ook nog wat overlegd, maar nadat iedereen pizza heeft gegeten en we drie kwartier verder zijn, zit de hyperfocus er goed in. Zelfs de mensen die in teams werken, lijken wat minder overleg nodig te hebben en iedereen bijt zich vast in de moeilijke kwesties die ze worden voorgelegd.

Toch is het zelfs dan niet een heel stressvolle operatie. De spelers zijn geconcentreerd, maar niet compleet gespannen. Er worden alsnog pizzaslices gehaald en drinken en dat gaat allemaal erg gemoedelijk. Voorin de zaal is op twee schermen te zien hoe iedereen ervoor staat. Mensen met nicknames als AlcoholicSnails, Red-Canary en ene Tom564 zijn lekker bezig, zo te zien aan het scoreboard. Ik ben voor Dinokitty, en stiekem ook een beetje voor Teamnotfound, vanwege de dramatische naam. Ik zie echter niemand huilend in een hoekje op de grond zitten, dus mogelijk is deze speler hartstikke blij dat hij of zij het alleen doet. In ieder geval gaat het lekker, want niet alleen de betere spelers tonen op het scherm. Overigens worden de tweede en laatste dag niet voortdurend scores getoond. Zo wordt het namelijk extra spannend.

Maar nu is het nog even de eerste dag en is men net lekker bezig. Eric loopt door de zaal en is trots op de nummer 1, die veel eerder dan de rest het tweede level haalde. Hij vraagt aan de aanwezigen wie luistert naar de naam die op dat moment op 1 staat, maar er wordt niet gereageerd. Het is stil. Iemand wil duidelijk anoniem blijven, of is zo in the zone dat diegene geen idee heeft dat er over de score wordt gepraat. Eric kijkt wat teleurgesteld en sluit af met een “ik wilde je een kick-ass compliment geven!”. Als deze speler het echter goed doet, dan zal de zaal uiteindelijk wel leren wie het is. Er is uiteindelijk namelijk een prijsuitreiking waar de winnaar met een felbegeerde medaillemunt naar huis gaat. En, misschien nog wel belangrijker, een heleboel respect van zijn medespelers. Mijn respect heeft iedereen sowieso, want de vragen zijn erg pittig!

Zeen is a next generation WordPress theme. It’s powerful, beautifully designed and comes with everything you need to engage your visitors and increase conversions.