De Webwereld Zomerhack is ten einde. Vorige week vrijdag waren al snel nadat fase 3 live ging twee tophackers doorgedrongen tot de diepste laag van de site van het Ministerie, waar zij het HACTA-document achterhaalden. Hun eindtijd lag slechts 32 seconden uit elkaar.

Dat was reden voor Frank van Vliet en Joost Pol, respectievelijk cto en ceo van beveiligingbedrijf Certified Secure, om in plaats van één twee hoofdprijzen uit reiken. "Dat verschil is zo miniem dat het eigenlijk te verwaarlozen is", aldus Van Vliet.

Dat neemt niet weg dat er een de absolute eerste moet zijn. Dat genoegen is in dit geval geheel aan 22-jarige student Technische Informatica Joerie de Gram. Hij voltooide het derde niveau van de hackwedstrijd na 2,5 uur. "Ik ben wel strak om 12 uur begonnen", aldus De Gram. "Ik ging voor de winst."

Erg lastig

De Gram studeert aan de Universiteit Twente (UT) en houdt zich daar vooral bezig met de theoretische kant van het informaticavak. Omdat hij het ook graag met de praktijk bezig is doet hij vaker mee aan dergelijke wedstrijden. "Bovendien heb ik vakantie dus ik had de tijd", legt hij uit.

De Gram ging naar eigen zeggen redelijk vlot door de verschillende niveau's maar vond de eerste twee levels niet te makkelijk. "De oplopende niveau's waren juist leuk", zegt De Gram. Maar ook level drie was niet heel erg lastig. "Je moet de foutjes vinden", legt De Gram uit, en dat kost het meeste tijd.

Denken als de programmeur

"Ik ging er bijvoorbeeld van uit dat er geen apostrof was gebruikt bij de sql-injectie die je bij level 3 moest uitvoeren." Volgens De Gram doen programmeurs dat meestal niet, dus dan kost het tijd. Ook het kraken van de MD5-hash was lastig. "Het is moeilijk te brute-forcen dus dat schiet niet op. Maar als ik die rainbow tables nu had gehad dan was ik zo klaar geweest." Eenmaal een site gevonden met de juiste tabellen was het wachtwoord voor de 22-jarige student snel te achterhalen.

In tegenstelling tot De Gram was Gijs Hollestelle, een 29-jarige security consultant die al vijf jaar bij Deloitte werkt, binnen vijf minuten door level 1 en 2 heen. "Misschien tien minuten voor de eerste omdat je iets moest opzoeken", zegt Hollestelle. "De laatste was gewoon pittig. Je moest echt raden hoe zij gedacht hadden."

Anderhalf uur raden

Ook hij vond dat verplaatsen in de gedachten van de programmeur de grootste opgaaf. "Achteraf denk je: Waarom heb ik anderhalf uur een bestandsnaam zitten raden als het zo makkelijk is." De rest van de opgaven kon Hollestelle redelijk makkelijk voltooien omdat hij zelf professioneel websites test. "Dat lijkt eigenlijk heel erg hier op, alleen dan zijn de sites niet speciaal bedoeld om te hacken."

Hollestelle begon iets later aan ronde drie dan De Gram en nam een paar uur vrij om mee te kunnen doen aan de wedstrijd. "Uiteindelijk had ik de pdf ook vijf seconden eerder gedownload volgens mij, alleen heeft hij dan weer dertig seconden eerder op de link geklikt", zegt Hollestelle om aan te geven hoe dicht beide heren bij elkaar zaten.

Loting

Zowel De Gram als Hollestelle krijgen allebei een Hacker mindset training bij Certified Secure. Daar zijn ze allebei wel over te spreken. De Gram: "Ik denk zeker dat ik er wat aan heb." Hollestelle is iets minder stellig. "Ik geef ook zelf dat soort trainingen, maar je zal altijd wel iets leren."

De Hacker mindset training die is verloot onder alle deelnemers die niveau 3 hebben gehaald gaat naar een hacker met de illustere initialen 'G.G'. De kraker in kwestie wordt door de redactie op de hoogte gesteld.

Hack me blijft online

Certified Secure laat de hack-me-site online staan (in de rechter sidebar) dus wie nog wil kan alle niveau's nog steeds doorlopen. Een hoedje bij de avatar zit er niet meer in omdat de Webwereld Zomerhack officieel ten einde is. "Op het forum van Certified Secure zijn tips en trucs te vinden waarmee de meeste mensen wel binnen kunnen komen", belooft Van Vliet.

Uiteindelijk zijn 809 lezers de uitdaging van de Webwereld Zomerhack aangegaan. Daarvan zijn er 360 doorgedrongen tot fase 2. 246 hackers haalden ook het tweede level. Uiteindelijk hebben 127 hackers de wedstrijd succesvol doorlopen en Minobet gekraakt en het geheime HACTA-document achterhaald.