HALON 2025: samen werken aan weerbaarheid

HALON was een groot succes: meer doelwitten om te hacken, meer gevonden kritieke kwetsbaarheden en meer ethische hackers dan ooit. De Radboud Universiteit was niet alleen de host van dit hackevent, maar was ook een van de doelwitten van de ethische hackers. We praten na met de CISO, een docent en studenten van deze universiteit die als ethisch hacker meededen.

Waarom als doelwit meedoen aan HALON?

Sanne Vonk-van Denderen is chief information security officer (CISO) aan de Radboud University. Sanne ziet veel voordelen in HALON en de deelname van Radboud University. “Door mee te doen benutten we het potentieel en de kennis van onze studenten. Maar het is ook goed voor onze eigen weerbaarheid. Ethische hackers kijken met andere ogen naar onze security, waardoor zij onze blinde vlekken blootleggen. Niet alleen de Radboud wordt hier digitaal weerbaarder van, ook de sector als geheel.”

Kwetsbaarheden melden

Jullie hebben Coordinated Vulnerability Disclosure (CVD)-beleid ingericht, wat is jullie ervaring hiermee? En heb je tips voor instellingen die dat nog niet hebben?

Sanne: “Het aantal meldingen is bij ons laag, en het CVD-beleid geeft securityonderzoekers de mogelijkheid om kwetsbaarheden bij ons te melden. Zo kunnen wij die verhelpen en voorkomen dat kwaadwillenden er misbruik van maken. Deze manier van samenwerken draagt enorm bij aan de veiligheid van onze universiteit. Een tip is wel: zorg dat je CVD-beleid goed vindbaar is op je site, en vergeet natuurlijk niet een Engelstalige versie van die pagina aan te maken.”

Security breken

Ook studenten aan de opleiding Cybersecurity aan de universiteit waren actief tijdens HALON. We vragen een docent wat voor studenten het belang is van hacken en HALON. 

“In de opleiding hebben we een paar vakken waar hacken aan bod komt: om security te begrijpen, is het belangrijk om te snappen hoe security gebroken kan worden. We dagen studenten ook uit om de security van onze online leeromgeving te testen.”

“Elk jaar zijn er wel studenten die hierdoor enthousiast worden. Ook voor events als Capture The Flag (CTF) en zich aansluiten bij de lokale studenten CTF-groep. Samen met andere studenten aan CTFs meedoen is dé manier om er beter in te worden.”

En dat de studenten-team van de RU al goed in zijn, blijkt wel uit het feit dat dat ze er – ook deze editie – met de eerste prijs wonnen in de categorie Most Advanced Verified Vulnerability, zie voor alle winnaars de HALON Hall of Fame.

“We moedigen dit verder aan door ook zelf events te hosten: zo hadden we hier eerder de nationale CTF ChallengeTheCyber. Sinds een paar jaar organiseren we samen met de gemeente Nijmegen een gecombineerde CTF/pentest, NymaCon.”

Omgeving veiliger maken

Ook voor studenten, de ethische hackers, is HALON een interessant evenement. Een van hen zegt hierover: ‘Het is een mooie kans om je kennis toe te passen op echte omgevingen, die hierdoor vervolgens veiliger worden. Tijdens het evenement kun je makkelijk contact vinden met beheerders voor vragen. Bovendien is het een erg leuke en leerzame dag!’

Zoek het doelwit

Welke tips hebben de CISO, de studenten en hun docent voor hackers en instellingen?

“Het is de kunst om tussen alle mogelijke doelwitten degene te vinden die mogelijk kwetsbaar zijn. Wij (red: het studententeam van de RU) gebruiken bijvoorbeeld Gowitness om screenshots te maken van alle doelwitten. Deze gebruiken we om snel te kunnen zien welke websites er dynamisch of oud zien.”

“Het is voor elke instelling nuttig om regelmatig deel te nemen aan hackevenementen en te investeren in deze vorm van samen testen. Hier leer je nieuwe vaardigheden die je dan bij HALON op echte omgevingen kan toepassen.”