HALON 2024: met 72 gevonden kwetsbaarheden weer een succes
"Met de billen bloot"
Roeland Reijers, chief information security officer (CISO) en ook host van deze editie, stipt enkele punten aan waarom de Universiteit van Amsterdam/Hogeschool van Amsterdam al drie jaar op rij meedoet: “Het is belangrijk om op sectoraal niveau goed samen te werken, daarom zit ik dit jaar ook in de organisatie. Daarbij is het belangrijk dat je je IT-infrastructuur continu laat testen. Hierom doen wij niet eenmalig mee, maar al meerdere jaren op rij. Het laten testen van je infrastructuur stopt ook niet.”
Naturalis Biodiversity Center doet dit jaar voor het eerst mee. Joep Vermaat, lead developer bij Naturalis, vertelt waarom: “onze eerste reactie was: ‘daar doen we echt niet aan mee, dan worden we gehackt’. Toch wilden we het een keer meemaken, zogezegd met onze billen bloot, in de hoop dat we kunnen leren over onze infrastructuur. Buitenstaanders zien vaak meer. Bovendien hebben we wel ervaring met responsible disclosure, maar op deze georganiseerde manier zien we duidelijker hoe onze infrastructuur ervoor staat. En ondanks dat we voorzichtiger zijn begonnen, hebben we al meer kennis opgedaan over de systemen die we hebben. Volgend jaar willen we misschien zelfs wel groter meedoen.”
Ict-vaardigheden verbeteren op een speelse manier
Het hack-evenement biedt studenten en medewerkers uit de sector de kans om hun IT-vaardigheden te verbeteren. HALON maakt het leren van digitale veiligheid speels en interactief, terwijl deelnemers tegelijkertijd bijdragen aan een veiligere leer- en werkomgeving.
Niet alleen instellingen zoals Naturalis leren veel van een HALON, ook de student vindt het leerzaam om mee te doen. Jonathan, student aan de Universiteit Leiden, vult aan: “Het is leuk om mee te doen omdat ik mezelf ertoe zet om een aantal uur bezig te zijn met hacken. Ook is het leerzaam en voelt het goed om iets terug te geven aan de universiteit. Normaalgesproken ben ik een beetje bang om iets te hacken, maar hier zijn scopes waarop ik dingen mag proberen. Daardoor is het een soort speelveld, waardoor ik wat meer dingen durf te doen, want ik weet dat het de bedoeling is en ik niks écht stuk maak. Thuis zou ik dit nooit doen en daarom wil ik hier graag wat ervaring opdoen.”.
Hoe denken de instellingen daar dan over? Roeland kan dit beamen: “We bieden op deze manier een platform voor studenten om dit vak te leren en te ervaren. Het is nodig dat studenten meedoen en zo worden opgeleid. Daarbij is het onwijs belangrijk om een cultuur te creëren waarbij je dit soort kwetsbaarheden meldt. Responsible disclosure is gewoon ontzettend van belang.”
De tien deelnemende instellingen van 2024 zijn: Universiteit Leiden, Amsterdam UMC, Vrije Universiteit (VU), Universiteit Utrecht, Naturalis Biodiversity Center, Hogeschool Utrecht, Radboud UMC, Universiteit van Amsterdam/Hogeschool van Amsterdam (UvA/HvA), Windesheim en NHL Stenden.
Een dagje meekijken bij HALON: liveverslag
Zodra het startsignaal afging, bleef het vijftien minuten stil qua gemelde kwetsbaarheden. Anderhalf uur later staat de teller op twintig gemelde kwetsbaarheden. Na twee uur zijn er veertien geverifieerde kwetsbaarheden gevonden, bij zeven verschillende instellingen. Voor de lunch is de stand van zaken: zeventien geverifieerde kwetsbaarheden gevonden, maar nog steeds drie ongeschonden instellingen.
Met nog twee uur hacken te gaan, staat de teller op 32 geverifieerde kwetsbaarheden bij 8 instellingen. Als het laatste uur ingaat, zijn er 40 geverifieerde kwetsbaarheden gevonden bij 8 doelwitten. Nog steeds één doelwit dat onschendbaar lijkt! De einduitslag komt om 18:00 binnen. In totaal zijn er 113 kwetsbaarheden gerapporteerd, waarvan er 72 geverifieerd zijn, bij alle deelnemende instellingen.
Winnaars in verschillende categorieën
In totaal vielen er in drie categorieën prijzen te winnen: ‘the most creative verified vulnerability’, ‘the most advanced verified vulnerability’ and ‘found the most vulnerabilities across the most participating targets’.
De winnaars op een rijtje:
- Most creative verified vulnerability is gewonnen door de volgende twee teams: ‘Twente’ en ‘Garbage Selection’.
- Most advanced verified vulnerability is gewonnen door de volgende drie teams: ‘Reloading’, ‘ROC MN’, en ‘We actually do not have any interest to compete in halon and we are just here for the looting as is UvA tradition also radboud rules!!!!!!’.
- Found the most vulnerabilities across the most participating targets is gewonnen door het volgende team: ‘Reloading’.
Bekijk ook de HALON Hall of Fame of klik door de onderstaande galerij heen.
HALON versterkt de digitale weerbaarheid van onderwijs en onderzoek
Het doel van HALON is om de digitale weerbaarheid binnen de Nederlandse onderwijs- en onderzoekssector te vergroten. Doordat de deelnemende instellingen een deel van hun infrastructuur openstellen, wordt een belangrijke stap gezet richting meer bewustzijn en preventie van cyberdreigingen. Hoewel de primaire focus ligt op de deelnemers zelf, profiteren uiteindelijk alle onderwijs- en onderzoeksinstellingen van de resultaten die HALON voortbrengt.
Met deze succesvolle editie heeft HALON opnieuw bewezen hoe belangrijk ethisch hacken is voor de veiligheid van de digitale infrastructuur in het onderwijs.