NLT module Cybersecurity

UPDATE: in 2020 is er een nieuwe module security gemaakt, als keuzedomein bij het uit het examenprogramma informatica havo en vwo.

Petra van den Bos, voormalig studente Informatica aan de Radboud Universiteit Nijmegen, heeft een NLT-module over Cybersecurity gemaakt. De module is tot stand gekomen met hulp van het Radboud Pre-University College, die vanuit de universiteit activiteiten voor HAVO en VWO scholieren organiseert.

Op deze webpagina vind je behalve de module zelf ook achtergrondmateriaal, zoals filmpjes en ideeën voor opdrachten, die bij de module te gebruiken zijn. Deze pagina is met name bedoeld voor docenten die bij extra materiaal over cybersecurity zoeken, maar als scholier kun je hier natuurlijk ook rondneuzen.

De NLT module Cybersecurity

Hoofdstuk 1 - inleiding cybersecurity

• Cybersecurity is een hot topic! Elke week verschijnen er wel nieuwe verhalen over computerbeveiliging en hacks in de media. Actuele verhalen zijn te vinden op algemene nieuws-sites zoals nu.nl, maar op webwereld.nl en tweakers.net vind je uitgebreidere informatie over de laatste ontwikkelingen.

  Er staan ook flink wat artikelen over cyber security op Kennislink.nl.

• Ontwikkelingen op gebied van cybersecurity gaan razendsnel. Een goede bron om een gedegen beeld te krijgen van recentere ontwikkelingen op gebied van cybersecurity is het Cybersecuritybeeld Nederland dat jaarlijks wordt gepubliceerd door het NCSC, het Nationaal Centrum Cyber Security van de Nederlandse overheid.

• De videos van super-hacker Max Cornelisse geven een indruk van wat er allemaal kan door computers te hacken.

  Alleen... is die Max Cornellise wel echt? En zijn deze hacks wel echt? Zoals bij veel dingen die je op internet vindt is dat helemaal niet zo duidelijk.... (Doe zelf maar eens waar onderzoek online om erachter te komen of dit nou echt of nep is! Maar ook als deze filmpjes nep zijn: wat je in de filmpjes ziet zou in het echt best wel mogelijk zijn.)

• Hier onder wat filmpjes over onderzoek aan de Raboud Universiteit:
  • De toegangspas van de Radboud Universiteit gehackt. Studenten hadden voor hun afstuderen naar deze chip gekeken. Dezelfde toegangspas werd indertijd ook gebruikt op het ministerie van defensie en de binnenlandse veiligheidsdienst, de AIVD. De chip in deze toegangspas bleek dezelfde chip te zijn als in de ov-chipkaart...
  • Startonderbrekers van auto's gehackt door promovendus Roel Verdult.
  • Presentaties van Radboud onderzoekers op het gebied van cyber security en privacy:
    • Prof. Martha Larson over haar Pixel Privacy onderzoeksproject
    • TedX presentatie van Prof. Bart Jacobs over privacy
    • Dr. Peter Schwabe over zijn onderzoek naar cryptografie die bestand is tegen quantum computers

Hoofdstuk 2 - Authenticatie

• Grappige clip over een scholier bij een examen. Is dit nou een probleem met identificatie of authenticatie?

• Nieuws over identiteitsfraude op nu.nl en Tweakers.net

• TEDtalk van Lorrie Cranor over hoe veilig je w@chtw00rd is

Hoofdstuk 3 en 4 - Cryptografie

• Bij de opdrachten in Hoofdstuk 4 worden protocollen nagespeeld met fysieke sloten en sleutels om de principes van public-key cryptografie (oftewel asymmetrische versleuteling) inzichtelijk te maken. Zie uitleg over benodigdheden hiervoor.

  

• Er zijn veel films waar cryptografie aan bod komt. Een recente film over het kraken van de Enigma code tijdens de Tweede Wereldoorlog door Alan Turing, een van de grondleggers van de informatica, is The Imitation Game. De film Enigma is een (nog) minder waarheidsgetrouwe film hierover.

• Een uitdaging van de FBI: Kraak jij de code?

• Informatie over cryptografie op kennislink.nl.

• Cryptografie wordt sinds kort ook gebruikt voor digitaal geld, met name bitcoin.

• Goede en toegankelijke uitleg over het verspreiden van cryptografische sleutels door professor Chris Bishop, ook met behulp van doosjes en sleutels, net zoals in de NLT module.

  Dit is onderdeel van een Royal Institute Christmas lectures over Informatica van Chris Bishop, die allemaal de moeite waard zijn om te bekijken.

• De online opdracht over Challenge-Response codes onderaan deze pagina past bij Hoofdstuk 3.

Hoofdstuk 5 - Digitale gevaren

• Kennislink heeft een aantal artikelen over hacken.

• Nieuws over hacken op nu.nl en tweakers.net.

• TEDTalks van Mikko Hypponen over computervirussen, verschillende soorten online attacks, en de NSA

• TEDtalk van Bruce Schneier over de (on)zin van beveiliging bij vliegvelden

• TEDtalk van Avi Rubin over het hacken van allerlei apparaten

• Op kennislink.nl vind je uitleg over de kracht van DDoS aanvallen, digitaal zakkenrollen, en mee over hacken in het algemeen.

• De online opdracht van de Hacking Masterclass onderaan deze pagina past bij Hoofdstuk 5, maar deze opdracht kan op elk moment gedaan worden.

Hoofstuk 6 - Privacy

• Kennislink heeft een collectie artikelen over privacy.

• Een korte clip over Big Brother Pizza Shop over een pizza bestellen in een wereld zonder privacy.

• Nieuws over privacy op nu.nl en tweakers.net.

• Nieuws over netneutralitiet en het recht om vergeten te worden op webwereld.nl.

• Wat weet je telefoonmaatschappij allemaal over je? Hier kun je een indruk krijgen van, door iemand te volgen over een periode van 6 maanden op basis van zijn telefoongegevens.

• Professor Bart Jacobs van de Radboud Universiteit over online surveillance

• Op kennislink.nl vind je meer informatie over privacy.

• Panopticon, een langere documentaire over privacy.

• Terms of Service, een stripverhaal over Big Data en de impact die dit op privacy heeft.

• Bij de digitale burgerrechtenbeweging Bits of Freedom vind je veel informatie over privacy, net-neutraliteit, en aanverwante zaken.

• "NSA files decoded" Zeer uitgebreide info over de spionagepraktijken van de NSA bekend gemaakt door Edward Snowden bij de krant the Guardian.

• Er zijn allerlei browser plug-ins voor privacy. Een paar voorbeelden zijn:
  • Privacy Badger
  • Lightbeam voor Firefox
  • Ghostery voor Firefox, Chrome, Safari, Opera, en Internet Explorer
  • DNTM (DoNotTrackMe) voor Chrome, Firefox, IE en Safari

• Ad-blockers, browser plug-ins die advertenties proberen te blokkeren, zijn ook goed voor je privacy, doordat ze content tegenhouden die van bedrijven die je proberen te volgen. Ze kunnen ook goed zijn voorbeveiliging, omdat advertenties een manier zijn waarop malware verspreidt wordt. Voorbeelden van ad-blockers zijn uBlock en Adblock plus.

  Let op: Sommige ad-blockers hebben wel dubieuze business modellen: bij sommige ad-blockers kunnen adverteerders namelijk geld betalen aan het bedrijf achter de ad-blocker om hun advertenties toch door te laten...

Meer opdrachten

• Website hacking Een goede plek om zelf proberen te leren om te hacken picoctf.org. Dit soort CtF's (Capture-the-Flag) doen is de manier om meer over de praktijk van cyber security te leren leren. Er zijn meer van dit soort websites, bijv. hackthissite.org en Natas security challenges waar je makkelijk op je eigen houtje mee aan de slag kunt. Op CTFagenda.nl vind je een overzicht met veel meer verwijzingen naar CtFs.

  HackInTheClass heeft ook lesmateriaal over hacken, incl. een website met hacking challenges voor leerlingen van middelbare scholen of zelfs basisscholen.

  Bij de Pre University College (PUC) Hacking Challenge staat een website die je kunt proberen te kraken. Wat achtergrondinformatie en een paar hints vind je in deze slides. Neem contact op met module-cybersecurity@cs.ru.nl als je met een groep deze opdracht wil doen om een set accounts te krijgen om hierop in te loggen.

  NB Het ongevraagd proberen te hacken van websites is strafbaar! Ga op een verantwoorde en ethische manier om met je hacking skills: als je een zwakheid in een website opmerkt, licht zo snel mogelijk het bedrijf of instelling achter deze website in, zonder schade aan te richten of informatie te gaan zitten bekijken. Meer informatie over de juridische aspecten in deze blog posting over computervredebreuk van ICT-jurist Arnoud Engelfriet. Het verantwoord omgaan met ontdekte security-lekken heet 'responsible disclosure'. Het Nationale Cyber Security Centrum van de Nederlandse overheid heeft meer informatie over responsible disclosure.

• Challenge-response codes

  Cryptografie kan gebruikt worden voor authenticatie. Daarbij wordt vaak gebruikt gemaakt van challenge-response codes: om te bewijzen dat je een geheime sleutel weet, wordt je gevraag om een willekeurig bericht (de challenge) te versleutelen, om zo de bijbehorende response te bepalen. Dit wordt gebruikt in bankpasjes, de ov-chipkaart, of of toegangspasjes bij gebouwen. Zo'n ov-paaltje stuurt een willekeurige challenge naar je ov-kaart, en als je ov-chipkaart het goede antwoord geeft, bewijst het dat het weet hoe deze versleuteling gaat, en daarmee bewijst het dat het een echte ov-kaart is. Op deze website met challenge-response codes staan opdrachten waar je de versleuteling moet proberen te kraken, dwz. je moet proberen te achterhalen hoe de response wordt bepaald door de challenge op een bepaalde manier door elkaar te husselen en te versleutelen.