Wat is er nu weer gehackt, gelekt of gefixt? Bij Hack Talk bespreken we de achtergronden bij cyberellende in het nieuws. Onafhankelijk, diepgravend en met een flinke dosis Rotterdamse nuchterheid. Oftewel: niet lullen maar patchen. Presentatie: Chris van ’t Hof, VJ Pleun Gremmen en live muziek van Bruno Ferro Xavier da Silva en Philipp Ernsting.
Vanaf deze aflevering wordt de inhoud samengesteld door DIVD, het Dutch Institute for Vulnerability Disclosure, een onafhankelijk groep hackers die het internet afspeuren naar kwetsbaarheden en die melden om dat gefixed te krijgen. Deze aflevering komen de nieuwe DIVD onderzoekers aan het woord om te vertellen hoe zijn online kwetsbaarheden vinden en melden. Ook gaan we in op de IT van DIVD zelf: hoe zorgen we ervoor dat we zelf niet lekken of gehackt worden? En we lanceren ons eigen Autonomous System AS50559, waarmee we dus een eigen stukje internet hebben en kunnen scannen vanaf eigen IP adressen. Kijk hier de aflevering terug.
Wat doe je als je een database vindt met 3 miljoen gebruikersnamen met wachtwoorden? Helpende hacker Tom Wolters kwam ermee bij DIVD en werd direct aangenomen als onderzoeker.
In de database met gelekte credentials bleken 177.000 Nederlanders te staan. DIVD CSIRT manager Frank Breedijk vertelt hoe DIVD de slachtoffers benaderde en hoe die reageerden. Verder heeft onze onderzoeker Wietse Boonstra weer een 0-day gevonden. Nu in Vembu. Frank vertelt hoe de disclosure verliep.
Deze avond lanceren we AS50559, DIVDs Autonomous System waarmee we onze eigen reeks IP adressen hebben: 194.5.73.1 tot en met 194.5.73.255. Zie je dus dat je gescand wordt vanaf een van deze adressen, dan weet je dat wij het zijn. Infrastructure Engineer Casper Kuijper start deze avond de eerste scan vanaf dit AS.
Hoe voorkom je dat helpende hackers zelf gevoelige data lekken of gehackt worden? DIVD heeft daarom een eigen Chief Information Security Officer: Fleur van Leusden. Ze vertelt hoe je ervoor zorgt dat mensen die dagelijks de beveilging van anderen verbeteren, ook die van zichzelf op orde houden, een soort CISO in het kwadraat dus.
Een van de nieuwe onderzoekers bij DIVD is Jan Los. Hij scant het internet op een protocol dat eigenlijk helemaal niet meer aan het internet zou moeten hangen. Hiermee ziet hij dat wereldwijd zo’n 200.000 organisaties gevoelige data lekken, waaronder ook gebruikersnamen en wachtwoorden. Eerst meldde hij individuele organisaties, maar dat was niet te doen. Nu hij bij DIVD zit gaat hij opschalen.
SAP, wie kent het niet? Nou, de meeste mensen, terwijl ze er wel gebruik van maken voor hun Enterprise Resource Planning. Onderzoeker Joris van de Vis is SAP security expert en zet hiermee een nieuwe onderzoekslijn in bij DIVD. Hij vertelt wat SAP is, hoe het kapot kan en hoe we het kunnen fixen.
Hack Talk is onafhankelijk en gratis dankzij steun van organisaties die net als wij graag vrij onze kennis delen over cyber security. Dus, met dank aan: