Het SIDN fonds ondersteunt de stichting Dutch Institute for Vulnerability Disclosure. DIVD spoort kwetsbaarheden op het internet op en meldt deze bij eigenaren van servers.
Dankzij de ophef rondom de kwetsbaarheden in Citrix-servers, werd het net ontwikkelde Nederlands Security Meldpunt een feit. Het is onderdeel van DIVD. Het is in feite het centrale punt van waaruit het team van vrijwilligers zelf meldingen over veiligheidsgerelateerde zaken maakt.
Vrijwilligers informeren eigenaren van Nederlandse netwerken en websites over kwetsbaarheden die via het meldpunt binnenkomen. Het Nederlands Security Meldpunt richt zich voornamelijk op kwetsbaarheden die een groot aantal gebruikers treffen, zoals bij de Citrix-servers het geval was. Niet op kwetsbaarheden die zich voordoen binnen slechts enkele systemen.
Verantwoord melden
Chris van ‘t Hof, medeoprichter en secretaris bij DIVD, vertelt hoe het team zich inzet om onze digitale wereld veiliger te maken. “DIVD bestaat uit een team vrijwilligers dat zich inzet om ICT-kwetsbaarheden op te sporen. Het verantwoord melden van zo’n kwetsbaarheid wordt ook wel responsible disclosure genoemd” legt Chris van ‘t Hof uit.
“Voorheen deden veel leden dit op individuele basis, maar het is natuurlijk veel effectiever om krachten te bundelen, taken te verdelen en beveiligingsonderzoekers samen te brengen. Daarom richtte ik in september 2019 samen met Astrid Oosenbrug en Victor Gevers de stichting DIVD op. Samen met alle gemotiveerde vrijwilligers dragen we bij aan een veilig internet.”
Kwetsbaarheden scannen
“Om onze gezamenlijke missie te bereiken, richten we ons voornamelijk op het opsporen van algemene kwetsbaarheden op het internet. Een aantal onderzoekers uit ons team houdt zich bezig met het scannen van het internet op algemene kwetsbaarheden, die bijvoorbeeld aandacht krijgen in het nieuws. Denk aan de situatie rondom Citrix-servers: begin dit jaar werd wereldwijd bekend dat veel Citrix-servers lek waren. De vraag luidde: wie is verantwoordelijk voor het waarschuwen van de gebruikers van de servers? Wij hebben deze taak op ons genomen en ons ingezet om alle Nederlandse IP-adressen, die gebruik maken van de Citrix-server, te scannen op de kwetsbaarheid. Uit deze scan bleken 546 IP-adressen kwetsbaar te zijn. Wij namen vervolgens via mail contact op met de eigenaren van deze IP-adressen. In sommige gevallen doen we dit niet zelf, maar benaderen we de eigenaar waarvan het IP-adres onderdeel uitmaakt. Niet iedereen is bekend met DIVD, maar vaak wel met haar overstijgende netwerkprovider, een partij als KPN. Als eigenaren van een IP-adres een mail van hun eigen provider ontvangen, vinden zij een melding eerder betrouwbaar.”
Meldpunt
Het meldpunt is ook een aanspreekpunt voor ethische hackers die kwetsbaarheden opsporen. De stichting ondersteunt jongere hackers of lossen waar mogelijk het melden van een systeem beveiligingslek samen op.
Lees ook:
- NCSC: veel Nederlandse Citrix-servers kwetsbaar voor aanvallen
- Brenno de Winter gaat beveiligingsprobleem te lijf met survivalgids in de digitale jungle