Den Haag een stuk veiliger nadat de stad flink gehackt is
Hoofdstuk 11 uit 'Cyberellende was nog nooit zo leuk' Chris van 't Hof, 3 februari 2021
Alles is uiteindelijk wel op de een of andere manier te hacken. Dan kun je er dus maar beter zeker van zijn dat degene die dat doet aan jouw kant staat. Steeds meer organisaties huren daarom pentesters in, die je IT-omgeving onder handen nemen zoals kwaadwillenden dat zouden doen. Je geeft ze dan een lijstje van je systemen, een bepaald tijdsbestek waarbinnen ze van alles mogen proberen en je krijgt na enkele weken een keurig rapport met bevindingen en advies. Een andere methode is je eigen IT-afdeling in tweeën te splitsen in een red team (aanvallers) en een blue team (verdedigers). Beide methodes blijken effectief, maar zijn ook beperkt, omdat elke hacker een eigen methodiek heeft. Als je veel verschillende hackers wilt inzetten, kan dat het beste met een hack event. Kies een dag waarop iedereen die dat wil jouw systemen kan beproeven op kwetsbaarheden. Spreek met de deelnemers duidelijke spelregels af. De kunst is dat je enerzijds de hackers een spannende target geeft en voldoende ruimte om hun eigen technieken toe te passen. Anderzijds mag je oproep niet resulteren in datalekken, het platleggen van systemen of reputatieschade. Ook hier komen de leidraden van responsible disclosure en coordinated vulnerability disclosure van pas: wie iets vindt, meldt dat bij de organisatie. Als organisatie laat je weten wat ermee wordt gedaan en geef je de de betreffende hacker de credits. Je moet dan wel je hele backoffice in stelling brengen om de meldingen te ontvangen en wat externe experts erbij halen om de bevindingen te beoordelen. Vervolgens maak je er een echt evenement van: een leuke locatie met goede werkplekken voor de hackers, een paar bekende gezichten om het event te openen en te sluiten, leuke prijzen en veel Club Mate, de typische cafeïnedrank voor hackers. Je zorgt dan niet alleen voor een goede opkomst, maar laat ook aan de buitenwereld zien dat je hackers serieus neemt. Voor de hackers zelf is zo’n evenement ook leuk: ze ontmoeten andere hackers om bij te praten, van elkaar te leren en elkaars krachten te meten. Zelf heb ik twee keer zo’n evenement georganiseerd. De eerste was in opdracht van Eneco, die hun slimme thermostaat de Toon weleens op de pijnbank wilden leggen. We noemden het evenement ‘Game of Toons’, hadden een geweldige dag, maar het bleek achteraf onduidelijk wat er precies met de uitkomsten is gebeurd. Het tweede evenement deed ik met The Things Network en hun LoRaWAN applicaties. We noemden het ‘Lord of the Things’, hadden een geweldige dag, maar ook hier was het onduidelijk wat er nu eigenlijk was gevonden en wat ermee werd gedaan. Het moeilijkste van hack events is dus het opvolgen van de bevindingen van hackers. Soms komen twee hackers met dezelfde bevinding. Wie wint dan? Degene die het eerst was of degene die de beste proof of concept heeft geleverd? Of een hacker vindt een serieuze kwetsbaarheid, maar die blijkt dan in een onbelangrijk systeem te zitten of in dat van iemand anders. Of erger nog: de kwetsbaarheid is alleen te fixen als je daar heel veel tijd en geld in steekt, terwijl dat niet opweegt tegen de grootte van het risico dat je loopt als je dat niet doet. Dan kun je dus besluiten de bevinding niet op te volgen. Maar accepteerd die hacker dat dan wel? Toch blijken de meeste helpende hackers wel begripvol te zijn. Ze snappen dat zij de systemen slechts oppervlakkig kunnen bekijken en het er aan de kant van de eigenaar anders uitziet. Bovendien vinden de meeste hackers het vooral gewoon leuk om mee te doen. Dat leerde ik toen ik werd gevraagd om mee te doen aan een hack event voor de gemeente Den Haag, waar niet een systeem, maar de hele gemeentelijke online omgeving werd getest, drie jaar op rij. De aanleiding hiervoor was een raadsvergadering in het Haagse gemeentehuis. Den Haag, 20 juni 2017. Het Haagse gemeenteraadslid Daniel Scheper van D66 stelt vragen aan het college van burgemeester en wethouders over het ethisch hacken van gemeentesystemen. De maand ervoor had hij namelijk een oproep op zijn partijwebsite gezet: ‘Hack de gemeente’. D66 wil zo testen waar de zwakke plekken van de beveiligingssystemen van de gemeente zitten. De partij denkt daarmee criminele hackers een stap voor te zijn. Scheper: “We willen op deze manier voorkomen dat er privacygevoelige informatie van, bijvoorbeeld, inwoners op straat komt”. De oproep wordt direct overgenomen door de lokale media en een relletje is geboren. De partij had een dergelijke oproep eerst moeten overleggen met de gemeente. Scheper krijgt die dag uitgebreid antwoord van het college. De gemeente neemt namelijk “structureel verschillende maatregelen om de informatieveiligheid van de gemeentelijke systemen te borgen en kwetsbaarheden te detecteren”. Wat volgt is een lijst met preventie, detectie en respons, uitgevoerd door grote namen van overheidsorganisaties en securitybedrijven. De gemeente blijkt ook al enkele responsible-disclosuremeldingen te hebben afgehandeld, zowel van losse individuele hackers als van een groepje via bug-bountyplatform HackerOne. Het college vindt de oproep van D66 “ongelukkig”, maar als ze een hack event willen, kunnen ze dat krijgen. Eind september is de Haagse Cyber Security Week en dat is een mooie gelegenheid om te laten zien dat de gemeente Den Haag de veiligheid van haar systemen serieus neemt en openstaat voor hackers. Het gezicht van Hack Den Haag 2017 wordt PvdA-wethouder Rabin Baldewsingh. Hij is naast politicus ook schrijver, dichter en filmmaker. Niet echt een man met een hart voor technische zaken, maar als wethouder heeft hij naast zaken als Volksgezondheid, Duurzaamheid, Organisatie, Personeelsbeleid, Monumentenzorg, Archeologie, Communicatie en Media toevallig ook ICT in zijn portefeuille. Hij heeft vernomen van de CIO van de gemeente, Marijn Fraanje, dat een hack event erg leerzaam kan zijn en een mooie gelegenheid is om het Haagse responsible-disclosurebeleid wereldkundig te maken. Wethouder Baldewsingh is enthousiast en wil het avontuur wel aan. Het nieuwe Haagse securitybedrijf Cybersprint wordt gevraagd om te helpen met de organisatie van het hack event. Ze hebben een Digital Risk Protectionplatform dat websites continu scant op kwetsbaarheden, een soort geautomatiseerde helpende hacker. Dat doen ze bij verschillende gemeenten, bedrijven, financiële instellingen en organisaties met een kritieke digitale infrastructuur. Hun directeur Pieter Jansen heeft in het verleden als zelfstandige voor de gemeente gewerkt en toen hij Cybersprint oprichtte, was Den Haag de eerste klant. Ook nu nog scant Cybersprint de websites van de gemeente op kwetsbaarheden. Een hack event lijkt Pieter dan ook een goede test om te kijken hoe volledig de scans zijn en waar ze die eventueel kunnen verbeteren. Bovendien kent hij de hackergemeenschap vrij goed. Hij heeft meegespeeld met het roemruchte team Eindbazen, dat regelmatig internationale CTF’s won. Daarnaast won hij met een gelegenheidsteam de OneCTF in 2018, waarin hij samen met Thijs Bosschert, Rik van Duijn en Wesley Neelen de eerste plaats pakte. De maand erna word ik benaderd door Pieter Jansen, die ik nog ken van de OneCTF het jaar ervoor, met een mail: “Kun je mij bellen wanneer het uitkomt? Cybersprint mag met de gemeente Den Haag een CTF/Hackme-event organiseren eind september en het lijkt mij leuk als jij als middagvoorzitter optreedt.” In het gesprek vertrouwt hij me toe dat iedereen het best spannend vindt dat de gemeente zich publiekelijk openstelt voor hackers. De burgers zouden bijvoorbeeld bang kunnen worden dat hiermee hun persoonsgegevens op straat komen te liggen of niet begrijpen dat hackers geld krijgen voor iets wat niet mag. De gemeente wil het event dan ook niet meteen al te groots aankondigen en noemt het discreet “Mystery Bug Bounty The Hague”. Pas kort voor het event wordt wereldkundig gemaakt dat het om de gemeente Den Haag gaat. Als spelregels nemen we de richtlijn voor responsible disclosure: meld kwetsbaarheden bij de eigenaar, onthul pas als die gefixt is, maak niets stuk, etc. De winnaars krijgen “€€ reward”. We doen geen ranglijst, want dan krijg je weer veel discussie over hoe zwaar de gevonden kwetsbaarheden zijn, maar drie categorieën: ‘Most Impactful Hack’, ‘Most Sophisticated Hack’ en ‘Most Surprising Hack’. Lekker vaag dus. Om het toch wat spannender te maken, zet Cybersprint in de oproep: “The famous Dutch ethical hacker Victor Gevers has signed up. Can you beat him?” Op 29 september is het zover. In het grote hoge witte gemeentehuis, dat lokaal het ‘IJspaleis’ wordt genoemd, wemelt het om 8.30 uur van de zwarte T-shirts. In totaal veertig hackers zijn op de oproep afgekomen. De meeste deelnemers hebben uit de locatie wel kunnen afleiden dat hun target vandaag denhaag.nl is en zijn alvast gaan kijken op de site. Ze krijgen van 9.00 tot 12.00 uur de tijd om zoveel mogelijk kwetsbaarheden te vinden. Wat we verstaan onder ‘impactful’, ‘sophisticated’ en ‘surprising’ laten we over aan de verbeelding. Dat geeft ons de gelegenheid om de bevindingen naar eigen inzicht te beoordelen. De prijzenpot was eerst 2.000 euro, maar de wethouder is het gelukt om er op het laatste moment 5.000 euro van te maken. Daar ben ik blij mee. Niet alleen omdat er dan ook echt iets op het spel staat, maar ook omdat ik vreesde dat een cheque met € 666,- erop tot protesten zou leiden onder de christelijke fracties. Met € 1.666,- blijft ons dat bespaard. De beeldvorming is belangrijk bij zo’n hack event. Hier worden namelijk niet alleen technische kwetsbaarheden verholpen. Dit is ook een pr-stunt om te laten zien dat de gemeente het belangrijk vindt om de persoonsgegevens van Haagse burgers goed te beveiligen. De hackers worden daarom midden in de grote witte hal aan zwarte tafels gezet en kunnen daar met hun eigen laptop aansluiten op het netwerk. Aan weerszijde staan tafels met snacks, koffie, frisdrank en uiteraard een stapel kratten met het verkwikkende Club Mate. Ik pak zelf ook een fles en loop wat rond. Hier en daar zie ik IT'ers en secretarieel personeel van de gemeente. Sommigen lopen zenuwachtig heen en weer om instructies te delen en van alles te controleren, terwijl anderen juist verstard met grote ogen rondkijken naar wat er op hen afkomt. Cybersprint is aanwezig met een heel team. Pieter is netjes in pak en staat te stralen te midden van alle hectiek. Ik herken zijn collega Ingeborg van der Geest als informeel leider van de cybersprinters. Ze loopt druk heen en weer met telefoon en papieren in de hand terwijl haar collega’s links en rechts T-shirts en een papiertje met de spelregels uitdelen aan de hackers. “Pers kan naar mij” roept ze in het voorbijgaan. Intussen gaat de dienstverlening aan de burger gewoon door. De baliemedewerkers zitten al klaar als ze straks om 9.00 uur opengaan. Dit lijkt me een mooie gelegenheid om even te informeren wat zij vinden van ons hack event, dus roep ik enthousiast: “Hallo allemaal. Zijn jullie er klaar voor?” “Eh, wat gaat er dan gebeuren?” roept een van de baliemedewerkers verbaasd. “Een hack event. Deze jongens gaan jullie systemen hacken.” “Oh, mogen we dan naar huis?” roept een andere en hij krijgt de lachers op zijn hand. “Zijn jullie dan niet geïnformeerd?” “Nee, fijn dat u dat alsnog even doet”, zegt een baliemedewerkster formeel. Dan wijst ze op mijn halflege fles Club Mate. “Maar eh, waarom zit u zo vroeg in de ochtend al aan het bier?” Nu liggen de ambtenaren helemaal dubbel over hun balies. “Dit is Club Mate, een soort thee met veel cafeïne.” Ze lijkt me niet te geloven en ik druip maar af. Terug in de mierenhoop van zwarte shirts komt een man in pak rustig en met een stralende glimlach op me af. Het is D66-raadslid Daniel Scheper en hij vertelt trots dat hij het mooi vindt om te zien wat zijn oproep van destijds teweeg heeft gebracht. Als hij weer wegloopt, word ik aangeschoten door een gehaaste man die me een stevige hand geeft. Hij blijkt een perswoordvoerder te zijn van wethouder Baldewsingh. Als ik vertel over Schepers heldendaad, reageert hij geërgerd: “Dat raadslid kan wel denken dat hij dat allemaal bedacht heeft, maar het is wel Rabin die hier de verantwoordelijkheid neemt dat dit allemaal kan.” Een van de ambtenaren fluistert me toe: “Zo gaat dat hier altijd. Als iets een succes is, is het van hun. Gaat het mis, dan is het van een ander”. Ik voel politiek gedoe aankomen bij de uitreiking dus loop ik naar Ingeborg om te informeren wie straks bij de prijsuitreiking wat gaat doen. De wethouder gaat niet de prijzen uitreiken, maar wel een toespraak houden, want het is nog onzeker hoe laat hij er kan zijn. We moeten daarom wat improviseren met de toespraken van andere ambtenaren om de aandacht van de hackers vast te houden. Dat gaat wel lukken, want de prijsuitreiking wordt gedaan door niemand minder dan privacy-voorvechtster en voormalig model Ancilla. Ze is ook hoofd van de jury, waar naast Pieter CTF-kampioen Thijs Bosschert in zit. Net als Pieter was hij een van de Eindbazen, en heeft met het team Jobless Hackers en het Hack.ERS menige edities van de Cyberlympics en andere CTF’s gewonnen. Om 9.00 uur grijp ik de microfoon en roep door de grote galmende hal dat de hackers kunnen beginnen. Dan zie ik Thijs samen met Michiel Prins, een van de oprichters van HackerOne, achter een scherm op de hoek van de lange zwarte tafel met hackers. Hier komen dus de meldingen binnen. Op het dashboard is te zien dat iedereen inmiddels een account heeft aangemaakt en dat de teller van meldingen nog op nul staat. De hackers hebben nu drie uur om mee te dingen naar de vele euro’s en eeuwige roem. Het event verloopt rustig. Eigenlijk te rustig. Als dagvoorzitter heb ik weinig te doen, behalve dan een beetje heen en weer lopen om te kijken of iedereen het naar zijn zin heeft. Links en rechts informeer ik of er al wat gevonden is. Op de schermen van de hackers zie ik naast de bekende zwarte Kali Linux-schermen dat sommigen gewoon met Google zoeken op denhaag.nl. Na een uur hebben we nog maar één melding: een XSS, oftewel cross-site scripting. Je zou dus, door wat code achter het internetadres te zetten eventueel een sessie van een andere bezoeker van de website kunnen overnemen. Dat kan ernstig zijn, ware het niet dat op deze site geen gevoelige gegevens worden verwerkt. XSS is ook in de jaarlijkse statistieken van het NCSC de meest voorkomende kwetsbaarheid die gevonden wordt op websites. Ik loop wanhopig naar Victor, of hij niet iets heeft gevonden. “Nee joh, alles staat dicht”, zegt hij terwijl hij ondertussen nog wat mailtjes afhandelt van lekken die hij eerder elders heeft gemeld. Met nog maar een halfuur te gaan, zie ik hackers die wat anders doen op hun laptop of bij de snacks en drankjes een praatje maken met elkaar. We hebben nog maar vier meldingen binnen, of eigenlijk drie, want een is echt te licht om vermeld te worden. Ik probeer de boel nog wat op te jutten door telkens om te roepen hoeveel tijd ze nog hebben, voor hun claim op eeuwige roem, maar er zit weinig energie meer in het hackersgilde. Om er toch nog een leuk einde aan te breien, zet ik om een paar seconden voor 12.00 uur The Final Countdown van Europe op de speakers. De prijsuitreiking verloopt rommelig. PvdA-wethouder Baldewsingh is ruim op tijd, dus we moeten de andere speeches skippen. Ancilla kwam pas halverwege het event binnen, moest daarna nog haar make-up doen en heeft weinig tijd om met juryleden Thijs en Pieter te overleggen. Als ik haar mijn microfoon geef, leest ze van een briefje voor dat de prijs voor de Most Sophisticated hack gaat naar team Loony Toons. Het zijn Rik van Duyn en Wesley Neelen van Dearbytes, die ook bij Game of Toons in de prijzen waren gevallen. Ze horen ook bij de hackers die al ver voor het einde bij de snacktafel stonden te kletsen en kijken enigszins verbaasd wanneer ze de bokaal en check in ontvangst nemen. Ancilla licht toe: “Een cross-site scripting, dat is erg technisch.” Ook de andere twee winnaars nemen hun prijzen enigszins vertwijfeld in ontvangst. De wethouder is er niet minder enthousiast onder. In een vlammende toespraak bedankt hij de deelnemers uitvoerig en prijst hij de gemeente Den Haag, die hiermee laat zien dat zij de beveiliging serieus neemt en openstaat voor hackers. De verwachte kritiek van media of burgers blijft uit. Niemand heeft de zorgen geuit dat de gemeente zich openlijk laat hacken of dat persoonsgegevens van burgers in gevaar zijn geweest. De aanwezige journalisten zijn vooral geïnteresseerd in het feit dat het event er is, en niet hoe goed of slecht denhaag.nl beveiligd is. Dat er die ochtend eigenlijk nauwelijks iets is gevonden, weten we uiteindelijk goed verborgen te houden. Achteraf bezien, was de editie 2017 vooral een goeie vingeroefening voor het echte werk. Voor de editie 2018 wil de gemeente meer hackers, betere hackers en een flinke uitbreiding van wat gehackt mag worden. Den Haag heeft inmiddels een nieuwe CISO: Jeroen Schipper, een IT’er die hiervoor zestien jaar bij Defensie heeft gewerkt. Toen hij hoorde over het aanstaande hack event nam hij het initiatief om naast de IT-omgeving van de gemeente, ook hun leveranciers te betrekken. Dat bleek nog best lastig. Jeroen: “Er staat wel ‘gemeente Den Haag’ onder die applicaties, maar je kunt niet zomaar die leveranciers noemen. Dan krijg je een soort naming en shaming.” Enkele leveranciers reageerden dan ook sceptisch of direct afwijzend op het aanbod van Jeroen. Waarop hij zei: “Oh, ben je bang dat ze wat vinden? Wanneer loopt jullie contract ook alweer af?” Maar er waren ook leveranciers die juist wel benieuwd waren of hackers nog iets kunnen vinden in hun applicaties. Zij zagen het als een gratis pentest. Probleempje: tussentijds zijn er gemeenteraadsverkiezingen geweest en het is niet waarschijnlijk dat de wethouder die het vorig jaar voor ons opnam, terugkomt. Van zijn PvdA is namelijk niet veel meer over. Groep De Mos, onder leiding van de ex-PVV’er Richard de Mos is in een klap de grootste partij in de gemeenteraad. Ze sluiten een coalitie met VVD, D66 en Groen Links. Wie van hen over ICT zal gaan, blijft nog onduidelijk. Pas in september krijgen we goedkeuring voor een volgende editie. Te laat om het nog tijdens de Cyber Security Week te organiseren. Gelukkig draagt ook dit college de cybersecurity een warm hart toe. Ik krijg namelijk een verzoek van de evenementenafdeling of we tijdens de Cyber Security Week de tentoonstelling Hackers Handshake in het gemeentehuis kunnen neerzetten. Tijdens de opening op 8 oktober kondig ik naast fotograaf Tobias Groenland ook NCSC-directeur Hans de Vries aan en de nieuwe wethouder Saskia Bruines. Geen hack event dus in het IJspaleis, maar wel grote afbeeldingen van hackers waarvan enkelen ook hebben meegedaan aan de Mystery Bug Bounty The Hague: Victor Gevers, Rik van Duyn en Wesley Neelen. Ze zijn ook live aanwezig, tezamen met de andere hackers uit de tentoonstelling. Dit is de perfecte gelegenheid om de nieuwe editie aan te kondigen, maar dat is de wethouder om de een of andere reden vergeten en ik vind het ongepast om dat dan maar voor haar te doen. Zij blijkt uiteindelijk ook niet de wethouder die de verantwoordelijkheid zal nemen voor het hack event, dat wordt een wethouder van Groep de Mos: Rachid Guernaoui. Op 22 november 2018 is het dan zover. Dit keer geen mysterieuze bug bounty, maar gewoon Hâck Den Haag. (Die “â” is bedoeld om het uit te spreken in plat Haags, maar dat zal menigeen zijn ontgaan.) De hackers krijgen vandaag meer tijd: zes uur maar liefst, dus is er extra eten en Club Mate ingeslagen. De prijzenpot was in eerste instantie weer 5.000 euro, maar is ook dit keer door de wethouder op het laatste moment verdubbeld naar 10.000 euro. We hebben dezelfde categorieën, maar ook daarbinnen een eerste, tweede en derde prijs, met bokaal en een cheque van respectievelijk 2.000, 1.000 en 500 euro. (Ik had, als nerd, ervoor gepleit om de bedragen binair te laten lijken, door er 512, 1.024 en 2.048 euro van te maken, maar dat zou volgens Communicatie niet echt begrepen worden door het publiek.) Elke deelnemer krijgt een medaille, goodiebag en een onvergetelijke ervaring. Cybersprint is massaal aanwezig, onder de informele leiding van Ingeborg die druk heen en weer loopt met badges, stapels papieren en dozen vol met zwarte T-shirts. Het team is nu herkenbaarder omdat ze allemaal een Cybersprint-hoodie aan hebben. De triage vindt dit keer plaats op het Zerocopter-platform, dat wordt beheerd door Chantal Stekelenburg. De directeur van Zerocopter, Edwin van Andel, is een van de juryleden, samen met Pieter van Cybersprint, CISO Jeroen, John Sinteur, een senior-pentester van Radically Open Security en Remko Sikkema, Adviseur informatiebeveiliging van de Informatiebeveiligingsdienst voor gemeenten (IBD). Een behoorlijk zware vertegenwoordiging dus. Wethouder Rachid Guernaoui is al bij aanvang aanwezig. Hij zal de prijzen uitreiken en heeft er zichtbaar zin in. Ik heb lang geoefend om zijn naam goed uit te spreken en test of ik het goed doe: “Zeg ik Kuwernahoewie?”, vraag ik beleefd. “Ja hoor, maar zeg maar gewoon Kwerni. Dat doen ze hier allemaal.” Hij kijkt om zich heen en lijkt trots op het leger aan ambtenaren dat vandaag op de been is. Het gehele CIO-office is aanwezig, onder leiding van Marijn Fraanje. Vooral de nieuwe CISO Jeroen Schipper is druk bezig iedereen in het gelid te krijgen. Bij de afdeling IT stuurt Team Lead IT-Security Peter van Eijk acht man aan die klaarzitten in een kamer waar veel kabels naartoe lopen en die vol staat met grote schermen. Het is een soort dependance van de control room op de Leyweg van waaruit gemeenteambtenaren continu hun kritieke processen monitoren. Hier en daar lopen Information Security Officers van BEC, het Bedrijfsvoering Expertise Centrum. Zij zijn het dagelijks contact met leveranciers, waarvan er vandaag drie meedoen, met best wel spannende systemen. Een leverancier levert het begrotingssysteem van de gemeente. Aan de URL zie ik dat het de echte omgeving is en geen testomgeving. Een tweede levert de web interface voor de gemalen die het water door de stad pompen en een derde levert het zogenoemde Pollers, een systeem dat gebruikt wordt voor de verkeersregulatie in de stad, onder andere met paaltjes die uit of in de grond gaan bij bepaalde nummerborden. Deze applicaties staan uiteraard wel in een testomgeving, anders zou een overenthousiaste hacker de stad onder water kunnen zetten of het hele verkeer ontregelen. De hackers krijgen er een gebruikersaccount bij, van waaruit ze kunnen proberen hogere rechten te krijgen. We hadden in totaal zeventig aanmeldingen van hackers, terwijl we plek hebben voor 45. Dus moesten we een selectie maken. Dat was nog best een klus, want waar selecteer je dan op? Eén riep: “We kunnen nu de meer ervaren hackers uitnodigen”, terwijl de ander riep “Het gaat om diversiteit, dus juist een mengeling van meer en minder ervaren hackers, Nederlanders en allochtonen en als het kan een meisje.” Daar kwamen we niet uit. We besloten daarom met het hele team elk voor zich punten te zetten achter de namen op een uitgeprinte spreadsheet. De vijfentwintig die afvielen, werden op een wachtlijst geplaatst. Dat was een goede oplossing, want van de gelukkige geselecteerden komen er die dag tien niet opdagen. Die plekken zijn opgevuld door hackers die op de wachtlijst stonden en er nu wel zijn. Ik herken enkele studenten van de Hogeschool Rotterdam. Die hadden zich inderdaad massaal aangemeld. Ook bij deze editie zitten alle hackers aan lange zwarte tafels met hun eigen laptop, midden in de grote witte hal van het gemeentehuis. Nieuw is een groot scherm met een dashboard waarop het netwerkverkeer wordt weergegeven. Hiermee laat de control room van Peter iedereen zien wat er real time gebeurt. Het zal de argeloze, langslopende Hagenees allicht niet veel zeggen, maar het ziet er wel spannend uit. En we hebben ook de portretten van Hackers Handshake. Victor is er niet, maar zijn grote portret prijkt aan de kop van de tafel. Aan het andere einde van de tafel hangt het portret van jurylid Edwin van Andel. Het lijkt net alsof beide Grumpy Old Hackers toekijken of de jonge hackers zich wel gedragen. Enkele anderen van de fototentoonstelling doen mee als deelnemer: Zawadi, Mischa en Tabitha van de Cyberwerkplaats en natuurlijk serial winners Rik en Wesley. Om 9.30 uur kunnen we aftrappen. Jeroen, Marijn en Pieter doen elk een korte intro, over de regels, de scope en de prijzen. Antoon, een van de leden uit de control room, somt kort op wat er vorig jaar was gevonden en wat ermee is gedaan. De drie findings zijn gefikst. Ik roep of er nog vragen zijn. Nee. De hackers lijken het allemaal wel te begrijpen en lopen rustig naar hun plekken om hun laptops aan te sluiten en aan de slag te gaan. Dan is er toch nog een vraag, van Peter Geissler, alias Bl4sty. Ik ken hem als de helpende hacker die in 2013 KPN meldde dat hun 300.000 modems lek waren en van de OneCTF die hij vorig jaar won. Hij is ook een van de medeoprichters van Radically Open Security en al jaren CTF Overlord bij Hack in the Box. Peter kijkt bezorgd als hij me het A4’tje met de bekende spelregels en de targets toont en vraagt: “Kloppen die IP-adressen wel?” Ik kijk op het velletje en zie “Gemeente Den Haag, IP reeks 217.68.51.0/24.” Dat staat ook op de instructie die ikzelf heb gekregen, dus het zal wel kloppen, denk ik… Het gaat meteen hard. Binnen tien minuten hebben we al twintig meldingen. Ik zie Mischa en Zawadi op en neer stuiteren en naar hun schermen wijzen. Als ik vraag wat er aan de hand is, roept Mischa: “Moet je kijken, gewoon een open filesharingsysteem! We hebben al twee zware findings.” Een journalist herkent het duo van de portrettententoonstelling en snelt toe voor een interview. Ook in de control room is er hectiek. Een van de IT'ers komt op me afgerend: “We hebben een foutje gemaakt in de switchconfiguratie. Het IP-adres moet niet /24 zijn, maar /20.” Ik stel hem gerust met “Ik zal het omroepen” en vraag: “Maar wat zit er dan achter /24?” “Oh, dat zijn de IP-adressen van de deelnemers”, zegt hij laconiek. De vele kwetsbaarheden die gevonden zijn, zitten dus op de laptops van de hackers zelf! Dat was dus waar Bl4sty me voor waarschuwde. Als ik omroep dat we opnieuw moeten beginnen omdat ze vooral elkaar aan het hacken waren, dringt het pas tot iedereen door hoe grappig dit eigenlijk is en galmt er gelach door de grote hal. De baliemedewerkers kijken even op, maar gaan direct weer verder met het bedienen van de Haagse burgers. Nog een ander foutje: van de Pollers hadden we alleen de URL moeten geven, niet het IP-adres. Dat nummer was goed bedoeld om te whitelisten, oftewel ervoor te zorgen dat verdacht verkeer niet geblokkeerd wordt. De leverancier blijkt echter nog andere applicaties achter het IP-adres te hebben hangen die niet binnen de scope van het hack event vallen. Oeps. Maar zowel de gemeente als de leverancier nemen het licht op: eventuele meldingen worden doorgegeven, maar vallen niet in de prijzen. Als ik check bij Chantal van Zerocopter hoe het loopt met de meldingen, zie ik dat ze staat te praten met een van de deelnemers. “Hee, dat mag niet, jury beïnvloeding” roep ik. Nee, de hacker had een zware kwetsbaarheid gevonden die buiten scope lag en wilde het toch even melden omdat de getroffene buiten het event om al bij het Zerocopter-platform is aangemeld. Nog meer dan de vorige editie, zet Den Haag een behoorlijke bijvangst door aan derden. Bij deze editie heb ik het best druk als dagvoorzitter. Mijn stappenteller staat inmiddels op twaalf kilometer, want telkens als er iemand vanuit de organisatie met een aanwijzing komt, moet ik die eerst controleren voordat ik deze door de microfoon omroep. Een ervan is wel hoogst charmant. De leverancier van de webinterface voor gemalen komt met een router aanlopen. Dit is dus het apparaat dat tussen de pompen en het internet staat. Of hij hem mag laten zien. Leveranciers mogen natuurlijk niet direct in contact treden met de deelnemers, om beïnvloeding te voorkomen, maar na overleg lijkt dit ons een mooie gelegenheid om de gemalen ook hun portie aanvallen te geven. Op de monitor zien we namelijk alleen verkeer naar denhaag.nl, het begrotingssysteem en vooral de Pollers. En inderdaad, als ik met het apparaat als een trofee in de lucht langs de tafels loop, neemt het aantal hits snel toe. Pollers krijgt het zwaar te verduren. Ik spreek een hacker die beweert admin-rechten te kunnen krijgen over het verkeersregulatiesysteem, maar hij heeft zijn melding teruggekregen. De jury kon uit zijn proof of concept niet goed afleiden wat hij precies heeft gedaan. Nu heeft iemand zijn account geblokkeerd en kan hij er niet meer in. Het blijkt Rik van Duijn te zijn. Ook hij heeft admin-rechten verkregen en wel een goede proof of concept ingediend. Om zijn vondst kracht bij te zetten, heeft hij meteen alle accounts gereset. Dat is niet erg netjes, maar met admin-rechten heb je wel gewonnen wat er te winnen valt bij deze target. Ik vraag hem waarom hij van deze testomgeving niet meteen een leuk computerspelletje heeft gemaakt door zogenaamd paaltjes in de stad op en neer te laten gaan. Een soort Snake of Pac Man. Hij reageert echter laconiek: “Oh, was het dat? Nee joh, soms als ik iets hack weet ik niet eens waar ik in zit.” Deze actie van Rik was misschien op het randje, maar er zijn ook hackers die zich echt niet aan de spelregels houden. Daarin staat duidelijk dat brute-forcing en flood-basedaanvallen niet zijn toegestaan. Automatische tools, zoals Dirbuster, Nmap, Skipfish, mogen slechts een keer specifiek worden ingezet en niet om continu de hele omgeving te scannen. Dat genereert namelijk zoveel verkeer dat het netwerk plat kan gaan, alsof we een DDoS te verduren hebben. Maar blijkbaar hebben we hiermee enkele deelnemers juist op een idee gebracht. Nadat meerdere vermaningen door het omroepsysteem niet over lijken te komen, dreig ik dat de identiteit van degene die het nog een keer doet, bekend zal worden gemaakt bij de AIVD. Er wordt wat schaapachtig gelachen hier en daar, maar het lijkt te werken. Tijdelijk dan. Als we nog maar een half uur hebben te gaan, neemt het verkeer van scans en brute forcing plotseling weer flink toe. Blijkbaar een laatste wanhoopspoging van gefrustreerde hackers. We laten het maar gebeuren, want we hebben immers al meer dan genoeg meldingen binnen om de negen prijzen kwijt te kunnen. Een van de deelnemers wordt zelf overladen door verkeer, menselijk verkeer welteverstaan. Tabitha, wiens portret ook in de hal staat, is het enige meisje in het hackersgilde en dat vinden de journalisten interessant. Zijzelf minder, maar door de continue verstoring is ze niet aan hacken toegekomen. Mischa wil wel voor de camera, maar ook hij valt uiteindelijk buiten de prijzen. Rik en Wesley hebben wel beet en staan triomfantelijk te wachten bij de snacks en drankjes op de uitslag. Om 15.30 uur zet ik The Final Countdown op. Om 16.00 uur is de prijsuitreiking. Wederom hectiek, want de uitslag is bekend, maar moet in korte tijd worden overgedragen aan wethouder Guernaoui. Intussen komen er steeds meer ambtenaren bij die ook graag op het podium willen staan. Als ik ze weggejaagd heb, geef ik snel de microfoon aan de wethouder die na een enthousiaste speech overgaat tot de prijsuitreiking. Binnen elke prijscategorie zijn er drie prijzen. Bug hunter Wouter van Rooij weet twee derde prijzen in de wacht te slepen en krijgt twee keer 500,-. Rik en Wesley krijgen twee tweede prijzen, 1.000,- elk. De eerste prijs voor Most Surprising Hack gaat naar twee leerlingen van de Hogeschool Rotterdam, die dankbaar gebruik hebben kunnen maken van hun plek op de wachtlijst en met 2.000 euro naar huis gaan. Grootste verrassing was dat de twee andere eerste prijzen werden gewonnen door één hacker: Peter Geissler, alias Bl4sty. Op de foto die ook in de media wordt geplaatst, kijkt hij wat ongemakkelijk in de lens terwijl de wethouder trots twee cheques van elk 2.000,- voor hem houdt. De rest staat er vrolijk op en het is een prachtig beeld: de wethouder die verantwoordelijk is voor ICT staat te midden van een hele groep hackers om te laten zien dat zijn gemeente hen serieus neemt. Een maand later kijk ik met CISO Jeroen Schipper en Team Lead IT Security Peter van Eijk terug op het event om de balans op te maken. Jeroen heeft kort daarvoor nog met de wethouder gesproken en die was heel blij en tevreden. Niemand vond het een probleem dat er meer kwetsbaarheden zijn gevonden dan het jaar daarvoor. Ze zien het eerder als: we hebben er meer opgelost. Niet alleen voor de gemeente Den Haag, maar ook voor andere gemeenten. Ze kunnen daarom ook niet ingaan op de specifieke kwetsbaarheden. Die zijn misschien bij Den Haag wel opgelost, maar niet bij de andere getroffenen. Een kwetsbaarheid kunnen we niet onvermeld laten: de eerste prijs Most Impactful Hack van Bl4sty. Hij had namelijk een kwetsbaarheid gevonden in een printer waarmee je kon inloggen en de bestandsnamen van alle geprinte documenten kon inzien. De kwetsbaarheid was nog maar net bekendgemaakt als CVE 2018:18006, terwijl de Japanse leverancier nog geen patch beschikbaar had. Uit eigen onderzoek van de gemeente Den Haag bleek dat meerdere gemeenten dezelfde printers gebruikten. De Informatiebeveiligingsdienst voor gemeenten werd ingelicht en er werd een alert gestuurd naar alle Nederlandse gemeenten. Ook het NCSC werd ingelicht, die de melding doorstuurde naar het CERT van Japan. Binnen drie dagen kwam de leverancier met een patch. Dit voorbeeld laat zien hoe lastig het is om bij hack events kwetsbaarheden wereldkundig te maken, oftewel coordinated vulnerability disclosure toe te passen, zoals te doen gebruikelijk. We hadden daar ook wat berichten over ontvangen via Twitter. Maar wat als die kwetsbaarheid bij andere gemeenten nog bestaat? Dan onthul je het wel op een verantwoordelijke manier voor je eigen systemen, maar niet voor die van anderen. Verder hangt het voor de ernst van een kwetsbaarheid nogal af van in welk systeem die zich bevindt. Soms wordt een kwetsbaarheid aanvaard als een aanvaardbaar risico, maar je wilt niet in de media lezen dat de gemeente ondanks het goede werk van hackers, lekken niet dicht. Ook in de beoordeling van de meldingen waren veel onzekerheden. Een hacker had een pdf-document gevonden waar de naam van de auteur nog in stond. Dat kan in sommige gevallen een probleem zijn, maar dat hoeft niet altijd zo te zijn. Verder hangt veel af van hoe ze hun melding indienen, zoals de hacker die als eerste in Pollers zat, maar zijn melding weer terugkreeg. Peter: “We hadden de wijze van beoordeling beter moeten communiceren. We keken niet alleen naar de gevonden kwetsbaarheden, maar ook naar reproduceerbaarheid van het proof of concept en de geboden oplossingsrichting. Over die finding in Pollers zei het triageteam dat ze ongeveer begrepen wat hij had gedaan, maar het niet konden reproduceren. De betreffende hacker was erg teleurgesteld toen hij zag dat de prijs naar Rik ging, die hem later had gevonden, maar wel een goeie proof of concept had.” Jeroen: “Het triageteam zat boven, en krijgt niet mee wat beneden gebeurt.” Omgekeerd was het voor al die ambtenaren, projectmensen, bezoekers en journalisten beneden ook niet helemaal duidelijk wat er boven bij het triageteam en in de control room gebeurde. Het scherm dat er stond, liet vooral netwerkverkeer zien en trok veel aandacht. Daar hadden we meer vragen van publiek kunnen afvangen door bijvoorbeeld een uitleg neer te zetten. Wellicht kunnen we daar volgend jaar ook het aantal meldingen op zetten. Niettemin was het beeld met die 45 hackers aan lange tafels midden in het gemeentehuis erg sterk. Als pr-stunt is het zeker geslaagd, want we kregen volop aandacht. Er was lokale media aanwezig: Omroep West, de Haagse editie van het Algemeen Dagblad, TV Scheveningen en de krant Loosduinen. Trouw deed een interview met de wethouder en de NOS pikte het bericht van Omroep West op. Er was zelfs een weddenschap op Radio 1, dat er voor 12.00 uur persoonlijke data gelekt zou zijn. Dat is gelukkig niet gebeurd. Al met al was de oogst van de dag: 90 meldingen, waarvan 62 uniek en 12 high impact, waarvan er op dat moment 10 zijn opgelost. De leveranciers blijken goed mee te werken en als een bug is gefikst, dan zien de hackers dat in hun Zerocopter-account. Dat is de belangrijkste winst van Hâck Den Haag. Maar wat heeft het gekost? Peter: “Alleen al de afdeling IT heeft in totaal 200 uur besteed aan het event en is nu nog bezig. Dat lijkt veel, maar het was het waard, want de potentiële risico’s die zijn opgelost zijn moeilijk in tijdswinst uit te drukken.” Kortom, deze tweede editie was goed, maar het kan altijd beter. Belangrijkste lessen? Betrek alle afdelingen voor, tijdens en na het event: CIO, IT, Communicatie en bovenal een enthousiaste wethouder. Zorg ervoor dat zoveel mogelijk leveranciers meedoen. Geef de hackers duidelijke targets en regels over wat wel en niet kan en hoe hun meldingen worden beoordeeld. Bekijk per geval welke bevindingen openbaar mogen worden gemaakt en overleg dat met de hacker. Wees open naar de media en het publiek met dashboards en woordvoerders die vertellen dat hackers altijd wel wat zullen vinden en we ze hiermee aan onze kant hebben. Maar bovenal: hoe goed je je ook voorbereidt, er gaat altijd wel iets mis. Zo niet, dan heb je gewoon te weinig risico genomen. Met die ambitie gingen we 2019 in. Het moest allemaal nog groter en beter. Daar kunnen we kort over zijn: dat is gelukt. Op 30 september 2019 vonden 79 hackers in totaal 107 kwetsbaarheden in de systemen van Den Haag. Vele meldingen over systemen die buiten scope waren, zijn doorgezet. Het event werd goed opgepakt in de media. Alleen al de aankondiging werd in de eerste vijf dagen 1,34 miljoen keer bekeken. Hâck Den Haag werd een showcase in de vele evenementen die volgden tijdens de European Cyber Security Month. We hadden voor de derde editie meer voorbereidingstijd en natuurlijk de ervaring van de twee voorgaande edities. Het NCSC nam ook deel aan de jurering, in de persoon van mister coordinated vulnerability disclosure, Jeroen van der Ham. Zijn baas, Hans de Vries, zou die dag ook komen, om direct na ons event de OneCTF af te trappen. Verder was de teamsamenstelling grotendeels hetzelfde: Cybersprint als medeorganisator van het event, Zerocopter voor de triage en een enorm ambtenarenapparaat vanuit alle betrokken afdelingen van de gemeente Den Haag, met als boegbeeld wethouder Guernaoui. De werving van de deelnemers ging ook een stuk makkelijker. We hadden immers al een aardige reputatie opgebouwd. Om het internationale allure te geven, werd het nu “Hâck The Hague 2019” en meldden zich inderdaad ook hackers uit het buitenland aan. (Die Haagse â hadden ze, wat mij betreft, daarom wel weg kunnen laten, maar dat terzijde). Naast de bekende drie vage prijscategorieën kwam er een bij: de studentencompetitie, met dezelfde geldprijzen van 500, 1.000 en 2.000 euro. De studenten kregen een eigen plek in de Raadszaal. De rest van de hackers zaten gewoon in de hal. Die maandagochtend kom ik het gemeentehuis binnenlopen en ik voel meteen dat de sfeer anders is dan voorgaande edities. Er heerst rust. Ik tref als eerste Jeroen Schipper, de gemeentelijke CISO. Hij blijkt het hele weekend te hebben doorgewerkt met zijn collega’s om alles op tijd klaar te hebben. “Huh, maar ambtenaren werken toch niet in het weekend”, plaag ik hem een beetje. Jeroen: “Nou, dit vinden we juist harstikke leuk, joh”. Ik realiseer me dan dat zo’n hack event nog een belangrijk neveneffect heeft op de gemeentelijke organisatie: het is voor collega’s met een hart voor security ook gewoon leuk om te doen en dat motiveert ze. Dat klopt volgens Jeroen. Ze hebben als gemeente behoorlijk wat talent rondlopen en hebben geen moeite om die mensen vast te houden. Dat is volgens mij bij andere gemeenten wel anders. Het is Jeroen dit keer ook gelukt om meer leveranciers te betrekken: twintig maar liefst en zeker niet de minsten. Enkele leveranciers zullen vandaag ook aanwezig zijn. Ook het Cybersprint team zit er relaxed bij. Ingeborg loopt dit keer niet te slepen met hoodies en goodies, maar heeft nu een balie met drie medewerkers die dozen vol zwarte kleding uitpakken. “Kijk, iedereen krijgt een keycord met eigen kleur”, zegt ze trots terwijl ze een bos ophoudt: “De hackers hebben rood. De organisatoren, leveranciers en bezoekers blauw. De ambtenaren en cybersprinters groen. En de pers geel.” Het groen en geel staat natuurlijk voor Den Haag. Rood van de hackers verwijst naar het red team, de aanvallers. Blauw is van blue team, de verdedigers. De juryleden en ik krijgen een paars keycord. En een zwarte hoodie met voorop “Hâck The Hague 2019” en achterop “EFFûH HÂCKûH!”. De jury is compleet. Ze hebben een eigen kamer waar elk uur juryberaad plaatsvindt. Het triageteam van Zerocopter heeft naast Chantal en Edwin ook nieuwe medewerker Ricardo ten Cate meegenomen, bekend van het Security Knowledge Framework dat hij samen met zijn broer onderhoudt voor de wereldwijde OWASP-community. Ze zitten samen met IT-security Team Lead Peter en zijn mannen klaar in de control room. De rest van zijn gemeentelijke IT'ers zit op de locatie Leyweg, van waaruit ze dagelijks hun werk doen, maar nu met de control room zijn verbonden via een livestream. Om 10.25 uur roepen we om dat alle hackers naar de gemeentelijke raadzaal moeten komen. Dit is de zaal waar het college van burgemeester en wethouders dagelijks hun debatten voeren en waar op 20 juni 2017 het idee ontstond voor de eerste editie. Nu wemelt het hier van de hackers. Onder de tafels van de raadsleden liggen bundels met netwerkkabels. Daar mogen straks de studenten gaan zitten. Die zitten nu samen met de professionele hackers op de tribune, die daardoor helemaal vol is. Als dagvoorzitter heb ik het makkelijk: mooie zaal, goed geluid en een flink scherm achter ons. We starten met een videocompilatie van de voorgaande editie. CISO Jeroen legt daarna kort uit wat we gaan doen, hoeveel hackers meedoen en wat er te winnen valt. Team Lead Peter gaat kort in op de bevindingen van vorig jaar en wat de scope is van vandaag. Pieter sluit af met de spelregels en wijst naar Chantal en Ricardo voor de triage. Na een groepsfoto knippen we symbolisch een zwart-geel afzetlint door en kunnen de studenten plaatsnemen in de raadszaal. Ze hebben daarmee een kleine voorsprong op de professionele hackers die nog naar beneden moeten om in de grote hal, te midden van de Haagse burgers in te pluggen. Hâck The Hague 2019 is begonnen. De dag erna zie ik veel van de mensen van Hâck The Hague op de One Conference. Zelf had ik me ruim van tevoren ingeschreven, net als de rest van ons team, want deze conferentie staat erom bekend snel volgeboekt te zijn. De winnende deelnemers, waarvan de meesten nog nooit op de One waren geweest, hebben van het NCSC naast hun prijs ook een kaartje voor deze dag gekregen. Sommigen waren zelfs die avond nog doorgegaan met de OneCTF die het NCSC in de hal van het IJspaleis had gehouden. Uiteraard onder het genot van de nodige Club Mate. In de wandelgangen van het Worldforum kom ik ze tegen. De jonge hackers kijken wat verlegen om zich heen tussen al die pakken, terwijl veel van de gemeenteambtenaren staan te stralen van het succes van de dag ervoor. We delen onze ervaringen en vertellen trots tegen anderen dat alles helemaal volgens het boekje ging dit keer. Geen incidenten met verkeerde IP-adressen, hackers die elkaar hackten of boze organisaties die onbedoeld een target bleken te zijn, maar gewoon een goed hack event. Een van mijn persoonlijke anekdotes van de dag was een leverancier die naar me toe kwam om mede te delen dat de gevonden bug gefikst was. Hij vroeg: “Kunnen we de applicatie updaten, zodat ze meteen de nieuwe versie kunnen testen?” Dat hebben we gedaan. Het gezicht van Hâck The Hague wordt op de One Conference de Haagse CIO Marijn Fraanje. Om 10.30 uur betreedt hij het hoofdpodium om voor meer dan duizend mensen te spreken over ‘Cyber resilient cities’. Als hij een foto laat zien waarop wethouder Guernaoui samen met Richard de Mos gratis veilige wifi op de Haagse Markt aanbiedt, gaat er geroezemoes door de zaal. Die ochtend was er namelijk een inval van de nationale recherche. Groep De Mos is verdacht van fraude en corruptie. Hun hele administratie en dus ook die van Guernaoui is in beslag genomen. De wethouder is op non-actief gesteld. Ik probeer me voor te stellen hoe Hâck The Hague 2019 zou zijn verlopen als de recherche een dag eerder hun inval had gedaan. Of hebben de agenten wijselijk een dagje gewacht? Hoe verliep het uiteindelijk met de afhandeling van de 107 gevonden kwetsbaarheden? Dat zien we terug in het Zerocopter-platform. De deelnemende hackers zien daarin hun melding geclassificeerd als ‘Low’, ‘Medium’ of ‘High’. Het zijn drie ‘code injections’, drie ‘open directories’, twee ‘cross-site scriptings’ en de rest gaat vooral over gevoelige informatie die niet zichtbaar zou moeten zijn. De melders kunnen op het platform ook de voortgang van de afhandeling volgen. Eerst staat hun melding op ‘Work in progress’, daarna op ‘Retest requested’ en uiteindelijk op ‘Resolved’. Enkele kwetsbaarheden blijken echter niet verholpen te kunnen worden, omdat ze niet in de systemen van de gemeente zitten, maar bij derden. Of ze blijken achteraf niet echt gevaarlijk. Dan wordt er een risico-inschatting gemaakt: hoe waarschijnlijk is het dat deze kwetsbaarheid misbruikt wordt en wat kan er dan misgaan? Als het uiteindelijk meer werk kost dan het oplevert, dan gaat de melding op ‘Won’t fix’. Kijken we naar het tijdsverloop, dan zien we dat van de twaalf prijswinnende kwetsbaarheden er zeven binnen een maand zijn opgelost en nog eens twee in de maand erna. Een wordt op ‘Won’t fix’ gezet omdat de applicatieleverancier, om onbekende redenen, heeft besloten het te laten zoals het is. Twee meldingen staan een halfjaar na het evenement nog steeds open. Van de overige vijfennegentig meldingen, die niet in de prijzen vielen, zijn er dan nog vijftien in behandeling, terwijl er eenentwintig uiteindelijk niet gefikst worden. Lekken vinden blijkt toch makkelijker dan ze te fixen… En de editie 2020 dan? Al in juni besluit de gemeente deze editie te cancelen vanwege COVID-19. Hackers hebben er over het algemeen geen probleem mee om anderhalve meter van elkaar te zitten, dat vinden ze juist fijn. Maar bij een evenement dat draait om security, kun je nu eenmaal niet gezellig met honderden mensen door het IJspaleis lopen, zeker niet als je daar zo’n beetje iedereen bij elkaar hebt die verantwoordelijk is voor de digitale bewaking van de gemeentelijke systemen. De deelnemers vanuit huis laten hacken zou een optie zijn, maar dan mis je toch het evenementengevoel en het nieuwsmoment. Bovendien kan dat nu ook al, gewoon via de CVD-pagina van de gemeente Den Haag. Om toch de aandacht vast te houden voor een eventuele volgende edities, besluiten de gemeente en Cybersprint in augustus alsnog een webinar te besteden aan het event en een overzicht te publiceren van de afgelopen edities. Op dat moment leg ik net de laatste hand aan dit hoofdstuk. Ze mogen het alvast hebben voor op de site, want alles wat ik schrijf is onder Creative Commons.