Malware schrijven, systemen aanvallen, beveiligingsmaatregelen breken: daar houden niet alleen cyberaanvallers zich mee bezig, maar ook studenten van de TU/e. Bij de mastertrack Information Security Technology – binnenkort de Cybersecurity track – leren ze denken als een cyberaanvaller, om daarmee de echte aanvallers een stap voor te zijn. Je kunt je namelijk niet beschermen tegen iets wat je niet begrijpt, zegt universitair hoofddocent Luca Allodi. “En je kunt iets niet begrijpen als je het niet zelf uitprobeert en ziet waar de complexiteit en beperkingen liggen.”

Al in de bachelor van Computer Science leren studenten bij Offensive Security om systemen te kraken. Het is een Challenge Based Learning (CBL) vak waarbij studenten zelf met originele ideeën komen om systemen aan te vallen. Het is een populair vak, waarbij studenten onder andere hackopdrachten krijgen die lijken op Capture the Flag (CTF) challenges. Bij dat soort challenges moeten ze op zoek naar een ‘vlag’ die in een systeem geplaatst is. Door de kwetsbaarheden van het systeem te vinden en in te breken komen ze bij de vlag terecht.

Competitie

Het is een populair concept binnen de cyberveiligheid. Dat blijkt wel uit de grote CTF-competitie die cybersecurityvereniging (E.S.H.A.) Trojan dit weekend organiseert. Dit jaar wagen tweehonderd deelnemers – twee keer zoveel als vorig jaar – zich aan in totaal 35 CTF-challenges. Dat kunnen websites en systemen zijn waarin kwetsbaarheden zijn ingebouwd en die je moet hacken, maar ook video’s of games die versleutelde onderdelen hebben of een foto waarvan je moet bepalen waar die gemaakt is, vertellen organisatoren Ronald den Ouden en Andrei Tudor Popescu. “We willen de opdrachten zo divers mogelijk maken, zodat iedereen kennis kan maken met de verschillende aspecten van cybersecurity.”

Om mee te doen heb je geen achtergrond in de cyberveiligheid nodig, voor sommige opdrachten hoef je zelfs niet te kunnen programmeren. Maar er zitten ook hele uitdagende opdrachten tussen, die moeilijk te kraken zijn. De studenten denken dat in de zes uur die deelnemers krijgen, beginners twee à drie opdrachten per persoon kunnen afronden. Voor gevorderde hackers ligt dat anders. “Vorig jaar waren er drie groepjes die alle challenges hebben opgelost”, aldus Popescu.

Vindingrijk

Hoewel er kwetsbaarheden in de opdrachten zijn gebouwd, is er niet maar één mogelijke oplossing, vertelt Den Ouden. “Het is meer dan eens voorgekomen dat deelnemers op een hele andere manier de vlag weten te vinden. Je probeert alles dicht te bouwen, behalve die ene kwetsbaarheid, als ze dan een andere manier vinden om het systeem in te komen is dat des te indrukwekkender.”

Het toont de vindingrijkheid van deelnemers, die Allodi ook bij zijn studenten ziet. Hij is er niet van overtuigd dat hij zelf alle CTF-opdrachten zou kunnen oplossen. “Mijn gouden tijden als “hacker” liggen achter me. Ik denk dat veel studenten inventiever zijn dan ik.” Dat stimuleert hij juist, want ook hackers innoveren. Om diezelfde reden blijft de mastertrack zich ontwikkelen. “Daarvoor zijn wel meer middelen nodig, vooral als we focus op CBL vast willen houden, die wij en studenten zo waarderen.” Bij de mogelijke nieuwe vakken zou AI een grote rol spelen. Daarnaast komt er waarschijnlijk een vak waarbij studenten leren om malware te ontwerpen. Niet om een nieuwe generatie hackers op te leiden, maar om die beter te begrijpen.

Hoodie

Het beeld bestaat volgens Allodi dat cyberaanvallers een soort magische entiteiten zijn. “Met een hoodie op”, grapt hij. “Altijd maar die hoodie.” Maar hackers zijn mensen. Ze kunnen werk hebben, een familie, andere interesses naast het hacken en weinig tijd, net als ieder ander mens. Dat zijn allemaal factoren die je mee moet wegen als je wil kunnen voorspellen wat een hacker gaat doen. Om die reden is de cybersecurity mastertrack heel breed opgezet, waarbij ook cognitieve psychologie en criminologie een belangrijke rol spelen. “Die multidisciplinariteit is een van de dingen waar ik studenten enthousiast van zie worden.”

Dat geldt ook voor Popescu, al zit dat enthousiasme voor hem vooral aan de technische kant. “Ik wilde eerst een master in Computer Science gaan doen, maar toen realiseerde ik me dat cyberveiligheid veel dieper ingaat op alles dat met informatica te maken heeft. Het is toepasbaar op alle soorten systemen.” De impact die je ermee kunt maken is daarmee des te groter, voegt Den Ouden toe.

In de rij

“Het is daarnaast relevant in de maatschappij, je hebt grote kans op een baan en je weet dat het belangrijk blijft.” Niet zo gek dat studenten in de rij staan voor de CTF-competitie. Er staan zelfs mensen voor op een wachtlijst. Deelnemen is dus niet meer mogelijk, maar wie zich graag eens een hacker wilt wanen kan ook meedoen aan de kleinere CTF-events die de vereniging organiseert door het jaar heen. Daarvoor hoef je geen lid te zijn van de vereniging en niet eens Computer Science te studeren. Elke student is welkom.