19 juni 19.00-21.00 #hacktalk16: anderhalvemetermeeting met DIVD



Deze aflevering stond helemaal in het teken van DIVD, het Dutch Institute for Vulnerability Disclosure. Hier werken onderzoekers samen die het internet scannen op veelvoorkomende kwetsbaarheden en die melden bij degenen die het kunnen fixen. Dat doen ze nu een half jaar en er het is daarom een mooi moment om eens even terug te kijken wat de onderzoekers allemaal hebben gevonden en hoe vulnerability research werkt in de praktijk.

Dit was ook de eerste aflevering in coronatijd, dus volgens het toen geldende strikte anderhalvemeterevenementenreglement. Zo hadden we maximaal vijftien duo seats voor bezoekers, die eerst door de triage moesten en overal bewegwijzering en spuitflessen desinfecterende alcohol. De rest van het publiek kon meekijken via de live stream. Drie gasten kwamen fysiek aan tafel, twee waren virtueel aanwezig via een privé Jitsi server, die beschikbaar was gesteld door BIT. Aan het einde gooide we die open, zodat iedereen virtueel kon meekletsen. Ook nieuw: onze huisband Bruno & Phillipp.

Uitgebreid verslag volgt nog. Hier alvast de foto's van Tabitha.



De stichting DIVD is opgericht op 27 september 2019 door Astrid Oosenbrug, Victor Gevers en mezelf, Chris van 't Hof. Bij de lancering op 1 oktober kwam Frank Breedijk erbij. Hij was namelijk ook al begonnen met een vergelijkbaar initiatief: een Security Meldpunt dat meldingen over kwetsbaarheden doorzet aan de slachtoffers, al dan niet via hun providers. Frank bracht zijn meldpunt onder bij DIVD. In januari startte het eerste grote onderzoek, naar een veelvoorkomende en zware kwetsbaarheid in Citrix servers. DIVD scande alle Nederlandse IP adressen en vond 546 kwetsbare organisaties. Het Security Meldpunt melde de eigenaren van de systemen, waarna ze vrijwel allemaal gefixed werden. Frank had ook voor alle bezoekers Makers4all spatmaskers mee.



DIVD verwerkt, door IP adressen te scannen op kwetsbaarheden, persoonsgegevens. We hebben daarom een Privacy Officer. Niemand minder dan Brenno de Winter. Hij legde uit hoe je als security onderzoeker binnen de grenzen van de wet kunt opereren. Brenno was ook betrokken bij de oordeelsvorming rondom de corona app en vertelde over de voortgang daarvan.

Mag dat eigenlijk wel, zo maar iedereen scannen op kwetsbaarheden? Het is een grijs gebied. DIVD heeft daarom een Code of Conduct opgesteld voor onderzoekers. Voorzitter Victor Gevers lichtte toe hoe deze code in de praktijk werkt.



Een ander groot onderzoek betrof de zogenaamde Bluegate kwetsbaarheid in Microsoft RDP Gateway. Barry van Kampen leidde het onderzoek waarin DIVD 1.137 kwetsbare systemen vond en de eigenaren ervan aanraadde de patch te installeren. Barry gaat zich ook inzetten voor het trainen van jonge onderzoekers bij DIVD.

DIVD gaat trainingen ontwikkelen voor jonge onderzoekers die ook vulnerability research willen gaan doen. DIVD bestuurslid Astrid Oosenbrug zette de ambities uiteen. Ze is ook de penningmeesteres van de stichting DIVD en geeft een financiële update.



Om Brenno en Victor virtueel in de uitzending te krijgen, gebruikten we Jitsi, een open source video conferencing tool die je op een eigen server kunt zetten. Die werd ons beschikbaar gesteld door Wido Potters van BIT. Na de interviews haalden we het wachtwoord eraf en konden de kijkers die het internet adres wisten te raden ook meekletsen. De url eindigde op /IDOR, van Insecure Direct Object Reference. : )

Wil je op de hoogte blijven? Meld je dan aan voor onze nieuwsbrief. Heb je suggesties voor ons programma? Mail ons. Dit programma is gratis. Dat kan dankzij onze vrijwilligers en omdat we gesteund worden door organisaties die net als wij graag kennis delen over cyber security. Dus, met dank aan: