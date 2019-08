De hackerstraining voor kinderen die woensdag en donderdag werd gehouden had een dagdeel voor jonge kinderen (8 t/m 11) en eentje voor oudere (12 t/m 15). Kevin Strooy en Sanne Maasakkers van het Fox-IT leerden de jeugdige deelnemers iets over social engineering, cryptografie, code en vooral over puzzelen, om ze spelenderwijs iets bij te brengen over informatiebeveiliging. We maakten een dagdeel mee om te zien hoe dat nu gaat. Het was geen sessie specifiek voor technologiefans (als je hoort over code en crypto zou je wellicht anders vermoeden) maar vooral eentje voor puzzelliefhebbers.

Puzzels met een boodschap

Een voorbeeld van een puzzel uit de Capture The Flag (CTF): "Wat betekent deze code die op een blaadje werd gevonden bij een oud mobieltje, een Nokia 3310?" gevolgd door een string getallen. Omdat elke vraag het antwoord flag{antwoord} oplevert, wisten de deelnemers alvast dat de eerste reeks van de tekens het woord 'flag' moet vormen. De string die begint met 33355524 moet dus flag opleveren, en gewapend met deze kennis en het multi-tap-toetsenbord, zagen ze dat als je drie keer op 3 klikt om de letter F krijgt. En inderdaad drie keer op 5 (L), één keer op 2 (A) en één keer op 4 (G) voor de rest van het eerste woord. Het antwoord op de vraag wat de code betekende, vonden de kinderen dan door dit toe te passen op de rest van de reeks getallen.

Ook een belangrijke les die ze meekregen: voor de meeste dingen zijn gewoon tooltjes online te vinden. Neem een converter die multi-tap-code omzet naar tekst. (Terwijl deze redacteur met pen en papier teken voor teken de string afliep, gebruikte iemand anders met een veel beter idee een online tool.) Of een online converter die binaire code omzet in ASCII. Maasakkers vertelt dat een belangrijk deel van hacken draait om het uitzoeken van hoe iets in zijn werk gaat, omdat bijna alles al eens eerder is gedaan. "De helft van m'n werk bestaat uit googelen."

Verschillende puzzels leren iets over wat je online kunt achterhalen. Zo was er een opdracht met een foto van een gezicht. Wat is de woonplaats deze persoon? Aan het einde van de sessie onthult Maasakkers dat dit een kleine strikvraag was, aangezien deze persoon niet bestond (wat ook een optie was in de vraagomschrijving). De securitydeskundige: "Als je de vraag goed leest, vind je het antwoord eigenlijk al."

De nepfoto kwam van Nvidia's GAN dat zijn kunnen demonstreert op This Person Does Not Exist Dat het een nepfoto was had je eigenlijk al kunnen zien als je inzoomde op de gezichten en de rare afwijkingen en pixelvervormingen opmerkte. Interessant, want hier hadden we het onlangs over op de redactie naar aanleiding van Which Face Is Real? Als je steeds foto's naast elkaar bekijkt en moet kiezen wie van de twee personen nep is en wie echt, kom je daar vrijwel altijd meteen uit. Maar wat als je er niet bij stilstaat dat dit een optie is; herken je een nepfoto dan direct?

Jonge kinderen sterfraudeurs

Verschillende puzzels leren de deelnemers iets over hacken, maar belangrijker: hoe je jezelf beschermt om ervoor te zorgen dat je niet prooi valt aan zo'n aanval. Maasakkers vertelt bijvoorbeeld hoe in de ochtendsessie kinderen van 8 tot 11 zich vol overgave stortten op social engineering en andere Fox'ers (die meespeelden als slachtoffer) belden met een blufverhaal om informatie te ontfutselen.

"De jonge kinderen zijn in social engineering blijkbaar veel beter", zegt ze. "Die kennen geen schaamte. Later is het misschien iets sneller 'dat durf ik niet', maar een achtjarige voelt dat minder. We hadden iemand die een wachtwoord probeerde te kraken van een gebruiker op 'Facebook-platform' Vosbook door op te bellen met: 'Hallo, wij zijn van de Postcode-loterij en u hebt een droomreis gewonnen! Wat is uw ideale vakantiebestemming en wat eet u graag, dan regelen wij alles voor u.'"

Net als de professionals

De vragen en oplossingen verschillen qua moeilijkheidsgraad. Het kan zo simpel zijn als een wachtwoord achterhalen dat verstopt is in de broncode van de pagina, naar complexere vragen als een Python-functie te grokken om te zien op welke manier een bepaalde tekst is geobsfusceerd. Met de moeilijkere vragen verdienen de jonge hackers meer punten, maar het kan natuurlijk lonen om een heleboel minder ingewikkelde punten te sprokkelen in plaats van de tijd verliezen met een moeilijke opdracht die veel punten oplevert. Net als bij een CTF onder professionele hackers. Of zelfs een wiskunde-examen.

Een voorbeeld van een vraag met veel punten uit het onderdeel Crypto, afbeelding via Sanne Maasakkers.

Het doel ervan is dat ze niet alleen iets leren over security en hacking, maar ook dat ze zich bewuster worden van risico's online. Een social engineering-opdracht leert dat je voorzichtig moet zijn met het delen van informatie (online of offline) en een opdracht die een account openstelt voor de aanvaller nadat een welbekende reeks populairste standaardwachtwoorden is geprobeerd, leert iets over wachtwoordkeuze.

Hackersgeest

Maar bovenal is de middag (of ochtend) leuk voor de kinderen. Het gamification-element van een CTF maakt het oplossen van digitale puzzels een spannende race, maar als tweede opdracht was er ook een analoge puzzelkist. Terwijl de kinderen het SOC van Fox-IT bezichtigen, zetten Maasakker en Strooy de tweede opdracht klaar, waar de teams genoeg punten mee kunnen verdienen om alsnog de CTF-kampioen te kunnen verslaan. De puzzelkist is dus eigenlijk de Gouden Snaai van de spelronde.

De kist is een escapekist, met afzonderlijk afgeschermde hokken die je puzzelend één voor één opent. De oplossing van een puzzel (bijvoorbeeld een vak met daarin vier blokken waarvan je moet uitvogelen in welke volgorde je ze moet neerleggen, welke van de zes kanten naar boven moet staan én wat die codewoorden betekenen om er getallen van te maken) levert een cijfer op om een hangslot mee open te maken.

Één deelnemer wrikte na het openen van twee van de schuifpanelen door de ontstane speling alvast het derde nog gesloten vak ver genoeg open om de puzzelkaart eruit te trekken, maar bedacht zich en liet de kaart met rust ten faveure van het 'officieel' oplossen van de puzzel. Terwijl die methode toch de ware hacker-geest weergeeft: het vinden van een oplossing voor een probleem die de maker wellicht niet heeft voorzien.

Hack de les

Uiteindelijk geeft deze dag aan dat je met een paar niet eens zo ingewikkelde lessen een informaticales op de middelbare school, of zelfs basisschool, zou kunnen verbeteren met praktische tips en lessen over het blootstellen van gegevens die beklijven. Dit is veel beter dan het voorbeeld dat Maasakkers later aanhaalt (en we zelf helaas ook iets te vaak hebben gezien) waarbij leerlingen les krijgen in specifieke functionaliteiten van een populair officepakket, in plaats van overkoepelende inzichten over IT die niet alleen breder toepasbaar, maar ook nog eens leuker zijn.

Wil je zelf aan de slag met je kinderen, neefjes, nichtjes of wat dies meer zij? Op haar eigen blog publiceerde Maasakkers een aantal voorbeelden, vind je een link naar de CTF en is er zelfs lesmateriaal (PDF), zodat iedereen met enige technische voorkennis een nieuwe generatie eindgebruikers weerbaarder kan maken in de digitale wereld.