Nederlands hackerscollectief DIVD bestaat vijf jaar

Het Nederlandse hackerscollectief DIVD bestaat vijf jaar. Het Dutch Institute of Vulnerability Disclosure ging op 26 september 2019 van start en is sindsdien flink uitgebreid met meer aangesloten hackers.

Hackersvrijwilligersorganisatie DIVD bedankt op X alle vrijwilligers en deelnemers die bij het collectief zijn aangesloten. De stichting is een vrijwilligersinitiatief dat ethisch hackers bij elkaar brengt en aan coordinated vulnerability disclosure doet. Hackers kunnen via DIVD bedrijven benaderen om bekende en onbekende kwetsbaarheden te melden.

Het Dutch Institute of Vulnerability Disclosure is een initiatief van ethisch hackers Victor Gevers en Chris van 't Hof en van oud-Tweede Kamerlid Astrid Oosenbrug, die de organisatie op 26 september 2019 opzetten. De organisatie kreeg enkele maanden na de oprichting meteen landelijke bekendheid toen een ernstige kwetsbaarheid in Citrix Nederlandse overheden platlegde. Het DIVD hielp toen honderden Nederlandse bedrijven en overheden te waarschuwen die mogelijk nog kwetsbaar voor die bug waren. Ook waren het hackers van DIVD die voor het eerst de Kaseya-kwetsbaarheden spotten.

Sindsdien zijn er veel meer hackers professioneel of vrijwillig bij de organisatie aangesloten. Inmiddels is er ook een eigen opleidingsinstituut dat door oprichter Astrid Oosenbrug wordt geleid. Oosenbrug werd in 2023 opgevolgd door Inge Bryan. Het DIVD kreeg in 2022 subsidie om een eigen bugbountyprogramma op te zetten en het werd de eerste onafhankelijke Nederlandse partij die zelf CVE-nummers mocht registreren. Onderzoekers die zich bij het instituut hebben aangesloten komen nog steeds regelmatig in het nieuws; dat gebeurde vorige maand nog toen bleek dat er grote kwetsbaarheden zaten in een bekend zonnepaneelsysteem.

Reacties (20)

Haaguit 27 september 2024 21:41

Het zijn een stelletje eindbazen die een belangrijke rol hebben in het NL weerbaarheids-ecosysteem. En het is echt uniek, probeer zoiets maar eens in andere landen.

William_H @Haaguit • 27 september 2024 22:08

Kun je eens uitleggen, ook voor de medetweakers, waarom dit alleen in NL kan en in andere landen niet?
Heeft dit te maken met hoe die landen naar hackers en responsible disclosure kijken?

SchizoDuckie @William_H • 27 september 2024 22:18

Dat is voornamelijk omdat onze 3 founders het klimaat geschept hebben in de politiek en in het bedrijfsleven (en zich daar nog steeds hard voor maken) waardoor responsible disclosure niet vervolgd maar juist omarmd wordt. Het zijn echt legends deze 3 en fantastische lieve mensen.

kodak

Beveiliging en antivirus

@SchizoDuckie • 28 september 2024 11:48

Responsible disclosure bestaat al heel wat langer dan divd. Ook in andere landen. Je werd al niet zomaar vervolgd of veroordeeld, daar is weinig anders aan. En hoewel er is waarschijnlijk wel meer bewustzijn is dat goede bedoelingen belangrijk zijn is het niet perse maar hebben van goede bedoelingen ook duidelijker geworden.
De meeste belangenverenigingen kunnen net zo goed in andere EU landen opgericht worden. Het is vooral afhankelijk van er de waarde van zien, in plaats van voor andere mogelijkheden te kiezen. L0pht in de VS en Chaos Computer Club in Duitsland deden 30 jaar geleden al aan collectief tonen dat problemen vinden, tonen en helpen verhelpen waardevol is en vervolging niet vanzelfsprekend. En dat was in een tijd dat Microsoft nog nauwelijks aan beveiliging deed of veel mensen nog niet eens een eigen computer hadden. Het kon en kan dus prima in andere landen, maar meestal op een eigen manier.

SchizoDuckie @kodak • 28 september 2024 12:43

Je redeneert echt compleet langs me heen om een punt te maken wat niet nodig is met een gelinkte sneer erbij die nog minder nodig is. Pedant hoor jeesh. Ik zeg nergens dat DIVD Responsible Disclosure uitgevonden heeft en nergens dat dit niet ook in een ander land zou kunnen.

Dankzij DIVD zijn er juist ook steeds meer internationale intitiatieven (o.a. via CSIRT.Global ) aan het ontstaan die deze blauwdruk overnemen om dat wat tot nu toe niet vastgelegd is maar "op een eigen manier" werkt in een consistent format te gieten.

kodak

Beveiliging en antivirus

@SchizoDuckie • 29 september 2024 13:41

Ik redeneer op het onderwerp van de discussie, de stelling dat het in andere landen niet mogelijk is.

Je begint je reactie het alleen in Nederland kan omdat er hier belaalde positieve omstandigheden zijn. Ik geef aan dat er in andere landen al omstandigheden waren, lang voor DIVD bestond en dat het bestaan niet slechts af hangt van die positieve kanten.

Ik heb de indruk dat je het als aanval ziet dat ik reageer dat er ook andere kanten zijn. Maar het is een feit dat er meer kanten zijn dat buiten Nederland ook vereniging was en is om aan positieve vulnerability disclosure te doen. DIVD draagt veel bij, maar er zijn nog veel meer omstandigheden waardoor er positieve vulnerability disclosure in andere landen bestond en bestaat. In andere landen hebben ze ook legends.

Floort

@kodak • 28 september 2024 13:02

DIVD is wel super belangrijk voor de acceptatie van RD/CVD in Nederland. Acceptatie voor het ontvangen van meldingen ging al wat langer de goede kant op. Maar zeker ook het besef dat structureel zoeken/scannen naar kwetsbaarheden en het georganiseerd uitwisselen van informatie om te zorgen dat de juiste organisaties geïnformeerd worden is iets waar DIVD veel bij geholpen heeft.

Haaguit @William_H • 28 september 2024 13:11

Wat @SchizoDuckie zegt, maar ook omdat door het polderen, samenwerken en afstemmen veel meer in onze cultuur zit. In NL hebben we echt een lage drempel om samen te werken (ook als de wettelijke kaders nog niet kristalhelder zijn). Die samenwerk cultuur is in mijn ervaring echt uniek. We werken niet alleen samen, maar _doen_ ook echt wat.

DIVD is echt een van die voorbeelden van samenwerking. Daar maakt het niet uit waar je ‘dayjob’ is, publiek, privaat of academisch, ze gaan voor de maatschappij.