DIVD mag als eerste onafhankelijke Nederlandse partij CVE-nummers registreren

De vrijwilligersbeveiligingsorganisatie DIVD is de eerste onafhankelijke Nederlandse organisatie die CVE-nummers mag registreren als CVE Numbering Authority. Daardoor kan het DIVD nu eigen CVE-nummers aanmaken en hoeft het niet meer te wachten op andere organisaties.

Het Dutch Institute for Vulnerability Disclosure is sinds februari een CVE Numbering Authority, ofwel CNA, waardoor de vrijwilligersorganisatie zelf CVE-nummers mag toekennen aan kwetsbaarheden en deze aan de CVE-lijst kan toevoegen. De organisatie mag dit doen voor kwetsbaarheden die ze zelf ontdekt, of voor kwetsbaarheden die via het nieuwe bugbountyprogramma worden doorgegeven. CVE is kort voor Common Vulnerabilities and Exposures. Een CVE-nummer wordt aan een kwetsbaarheid toegekend om communicatie en coördinatie over een kwetsbaarheid te vergemakkelijken.

CNA's moeten door de CVE-organisatie worden goedgekeurd en moeten daarbij bijvoorbeeld laten zien dat ze een publiek vulnerability disclosure-beleid hebben. Op het moment van schrijven zijn er 210 CNA's, waarvan vier in Nederland en een in België. Drie van deze vijf partners mogen alleen CVE-nummers toekennen aan eigen projecten. Een vierde bedrijf, Airbus, mag naast het toekennen van CVE-nummers aan Airbus-kwetsbaarheden, ook CVE-nummers toekennen aan kwetsbaarheden in software van derden die niet binnen het domein van een andere CNA vallen. Het DIVD is de enige CNA in Nederland en België die alleen uit beveiligingsonderzoekers bestaat en onafhankelijk onderzoek uitvoert naar kwetsbaarheden.

De CVE-autoriteiten mogen niet aan alle kwetsbaarheden CVE-nummers toekennen, maar alleen aan kwetsbaarheden die binnen hun domein vallen. Het domein van het DIVD betreft alle kwetsbaarheden die DIVD-onderzoekers vinden, en kwetsbaarheden die door externe onderzoekers worden aangedragen, mits deze kwetsbaarheden in managed service providers- en subject matter expert-software zitten en niet binnen de scope van een andere CNA vallen.

Doordat het DIVD nu een CNA is, kan het instituut nu zelf CVE-nummers aanmaken zonder dat het bij andere CNA's hoeft aan te kloppen. Daardoor krijgen DIVD-kwetsbaarheden sneller een CVE-nummer. Het DIVD is opgericht door de bekende ethische hackers Victor Gevers en Chris van 't Hof, en voormalig Tweede Kamerlid Astrid Oosenbrug. De organisatie zoekt naar bekende kwetsbaarheden in software en neemt via coordinated vulnerability disclosure contact op met de leveranciers van die software. Het instituut werkte bijvoorbeeld met Kaseya samen aan het oplossen van de kwetsbaarheden, voordat die vorig jaar gebruikt werden om de grote ransomwareaanval uit te voeren.

Door Hayte Hugo

Redacteur

Feedback • 02-02-2022 11:03 30

02-02-2022 • 11:03

30

Lees meer

Nederlands hackerscollectief DIVD bestaat vijf jaar
Nederlands hackerscollectief DIVD bestaat vijf jaar .Geek van 27 september 2024
Onderzoekers konden beheer Enphase-zonnepanelen overnemen via zes kwetsbaarheden
Onderzoekers konden beheer Enphase-zonnepanelen overnemen via zes kwetsbaarheden Nieuws van 12 augustus 2024
Nederlander ontdekt Azure-bucket van Fujitsu die jaar lang op internet stond
Nederlander ontdekt Azure-bucket van Fujitsu die jaar lang op internet stond Nieuws van 21 maart 2024
Nederlandse gemeenten reageren slecht of laat op responsible-disclosuremeldingen
Nederlandse gemeenten reageren slecht of laat op responsible-disclosuremeldingen Nieuws van 2 oktober 2023
Astrid Oosenbrug wordt opgevolgd door Inge Bryan bij hackerscollectief DIVD
Astrid Oosenbrug wordt opgevolgd door Inge Bryan bij hackerscollectief DIVD Nieuws van 29 september 2023
Gearresteerde Nederlandse hacker was als vrijwilliger werkzaam voor DIVD
Gearresteerde Nederlandse hacker was als vrijwilliger werkzaam voor DIVD Nieuws van 24 februari 2023
NCSC mag CVE-nummers toekennen aan kwetsbaarheden
NCSC mag CVE-nummers toekennen aan kwetsbaarheden Nieuws van 21 juli 2022
Ontwikkelaars stellen security.txt-standaard voor melden beveiligingsfouten voor
Ontwikkelaars stellen security.txt-standaard voor melden beveiligingsfouten voor Nieuws van 28 april 2022
Nederlandse beveiligingsorganisaties beginnen Security Meldpunt
Nederlandse beveiligingsorganisaties beginnen Security Meldpunt Nieuws van 14 februari 2022
DIVD krijgt 88.000 euro voor opzetten van bugbountyprogramma
DIVD krijgt 88.000 euro voor opzetten van bugbountyprogramma Nieuws van 12 januari 2022
Zes Nederlandse projecten krijgen subsidie voor vergroten cyberweerbaarheid
Zes Nederlandse projecten krijgen subsidie voor vergroten cyberweerbaarheid Nieuws van 28 december 2021
Nederlandse beveiligingsonderzoekers meldden Kaseya-lekken begin april - update
Nederlandse beveiligingsonderzoekers meldden Kaseya-lekken begin april - update Nieuws van 8 juli 2021
Meer producten en artikelen
Beveiliging en antivirus responsible disclosure

Reacties (30)

-Moderatie-faq
30
29
19
3
0
3
Wijzig sortering
feuniks 2 februari 2022 11:18
@Anoniem: 551631

Ik zal je helpen. Kijk op https://www.redhat.com/en/topics/security/what-is-cve. Daar wordt goed uitgelegd wat een CVE is. Ik ben het met je eens dat het artikel slecht is geschreven. De term CVE wordt elke 10 woorden gebruikt, maar nergens wordt uitgelegd wat het precies is en waarom het nieuwswaardig is dat DIVD nu zelf nummers mag aanmaken. Als je niet in deze tak van sport zit, dan kan ik me voorstellen dat je het niet begrijpt.

[Reactie gewijzigd door feuniks op 23 juli 2024 08:50]

AuteurHayte Redacteur @feuniks2 februari 2022 12:01
Ik ging er inderdaad iets te makkelijk vanuit dat de term CVE voor iedereen bekend zou zijn, ik heb een alinea met een beetje uitleg toegevoegd :)
Osiummaster @Hayte2 februari 2022 12:12
Alinea met uitleg bovenaan het artikel ipv helemaal onderaan is misschien ook wel handig
AuteurHayte Redacteur @Osiummaster2 februari 2022 12:23
Daar twijfelde ik ook over, inmiddels aangepast, dank :)
Anoniem: 551631 @feuniks2 februari 2022 11:31
hey dankjewel!

zoals ik hierboven ook al uitleg, had geen commentaar op het artikel. echter gewoon geen flauw idee waar het nu over ging.

maar ook mede door jouw uitleg heb ik nu een idee.

thanks
Orangelights23 2 februari 2022 11:10
Leuk dat dit mogelijk is, gefeliciteerd!

Eerder plaatste Tweakers een bericht dat DIVD subsidie krijgt, goed om te zien dat het daadwerkelijk goed besteed wordt.
tweaker2010 @Orangelights232 februari 2022 14:34
"De stichting Dutch Institute for Vulnerability Disclosure gebruikt het geld om mensen in dienst nemen."
Dus dat heeft hier niets mee te maken.
Orangelights23 @tweaker20102 februari 2022 15:02
Waarbij de mensen die aangenomen zijn/worden ingezet worden om dit soort initiatieven op te pakken... :)
tweaker2010 @Orangelights233 februari 2022 17:44
Dat is je eigen conclusie of heb je daar een bron van?
Orangelights23 @tweaker20103 februari 2022 17:55
Naast dat dit een redelijk aannemelijke consequentie is, werk ik af en toe met ze samen sinds een flink aantal maanden en zie ik duidelijk dat men op een goed niveau bezig is met de professionalisering van hun organisatie en nieuwe mensen in in voor zetten.
Anoniem: 551631 2 februari 2022 11:10
ik heb het hele artikel gelezen. en heb nog steeds geen idee waar het over ging.

ik zal duidelijk de doelgroep niet zijn 8)7
MiesvanderLippe @Anoniem: 5516312 februari 2022 11:18
Het is mijn professie en ik vind het ook vrij gortig om te lezen. Een CVE nummer wordt aan kwetsbaarheden gegeven om ze te indexeren. Het bestaat uit een jaartal en een volgnummer. Bijvoorbeeld CVE-2021-34527 (Google maar, dan zie je waarom het getal handig is).

Het DIVD, een Nederlandse club van ethisch hackers die dit vrijwillig doen voor die organisatie mag nu CVE nummers uitgeven. Zij mogen dus een getalletje plakken aan een kwetsbaarheid. Dat is relevant omdat zij zelf onderzoek doen naar de veiligheid van systemen.
Kevinns @MiesvanderLippe2 februari 2022 11:44
Top dat er wat uitleg is, ik heb wel eens van CVE gehoord maar de achtergrond was me nog niet duidelijk. Nu zeg je dat het zelf uitgeven van CVE nummers relevant is. Maar waarom wil je kwetsbaarheden een CVE nummer geven? Wat is het voordeel voor de onderzoekende partij, of voor andere partijen?
TheRealProcyon @Kevinns2 februari 2022 11:58
Omdat dat makkelijker maakt om te refereren naar een kwetsbaarheid, alsook het makkelijker maakt om te zoeken naar de betreffende kwetsbaarheid. Zie het als een soort index bij een bibliotheek. "Op de tweede verdieping, kast twee, 10e boek is het boek te vinden", enkel is het een nummer om een bepaalde kwetsbaarheid te vinden in de wirwar dat de hoeveelheid kwetsbaarheden is.
Roharas @TheRealProcyon2 februari 2022 13:22
Kleine aanvulling hier op is dat bugs vaak in eerste instantie gevonden en gerapporteerd worden door mensen die direct met die software te maken hebben. Mocht het een ernstige kwetsbaarheid zijn die ze wereldkundig moeten of willen maken dan is het wel handig om een internationaal herkenbare naam standaard aan te houden zodat je zoals @TheRealProcyon al aangeeft eenvoudig kan zoeken.
Het nummer is dus niet voor de direct betrokkenen medewerkers/instanties maar voor iedereen die er baat bij heeft om te weten omdat ze misschien een referentie er naar in hun software hebben zitten.

Omdat de naam bijvoorbeeld altijd een CVE-jaartal-volgnummer aanhoud kan je bijvoorbeeld zoeken op alle erkende kwetsbaarheden uit 2021 zoeken (CVE-2021-****)

[Reactie gewijzigd door Roharas op 23 juli 2024 08:50]

TheRealProcyon @Roharas4 februari 2022 10:43
Thanks voor de aanvulling.

Sidenote bij jouw reactie: soms vallen CVEs uit een bepaald jaar in het vorige jaartal (voornamelijk aan het begin van een jaar) ;)
kwakzalver @MiesvanderLippe2 februari 2022 11:37
Dank voor de toelichting.
De term CVE is binnen de IT zo ingeburgerd en komt (zeker bij beheer en beveiliging) om de haverklap langs dat we vergeten dat er ook een grote groep is die er geen benul van heeft.
Mea Culpa daarvoor. :+
Anoniem: 551631 @MiesvanderLippe2 februari 2022 11:28
dank voor je reactie.

ik had geen commentaar op het artikel hoor. had gewoon echt geen flauw benul waar het over ging. en eerlijk te zijn geen zin om het te google.

maar jou uitleg geeft mij in ieder geval inzicht. had geen idee van het bestaan ervan überhaupt.
torp @Anoniem: 5516312 februari 2022 11:22
Ik tel 15 keer "CVE" en 0 keer uitleg waar het voor staat.
MiesvanderLippe @torp2 februari 2022 11:26
Common Vulnerabilities and Exposures.

Dus niet: Jantje kan geen PHP programmeren en daarom ligt je complete bestelhistorie op straat

En wel: Er zit een kwetsbaarheid in Shopify en daardoor is het mogelijk om code te injecteren in websites die het gebruiken (CVE-2020-8176)
wica @MiesvanderLippe2 februari 2022 11:31
Dus niet: Jantje kan geen PHP programmeren en daarom ligt je complete bestelhistorie op straat
Als heel veel mensen deze code gebruiken, dan is het wel weer een CVE
Nystran 2 februari 2022 14:47
Ben ik de enige die de naam verwarrend vindt?

Je hebt de AIVD, MIVD en de Digitale .... Dutch Institute for Vunerability Disclosure
DGTL_Magician @Nystran2 februari 2022 17:38
Die naam zal niet toevallig gekozen zijn ;)
wica 2 februari 2022 11:07
Zeer mooi en gefeliciteerd aan DIVD. Die in een paar jaar tijd behoorlijk wat bereikt heeft voor de beveiliging van Nederlandse servers.
GekkePrutser 2 februari 2022 13:48
Betekent de move van cve.mite.org naar cve.org ook dat de CVE organisatie wat meer onafhankelijk wordt van MITRE?

Ik hoop het eigenlijk wel want MITRE wordt steeds commercieler. Zoiets zou eigenlijk een nonprofit NGO moeten zijn vind ik. Je kan er niks meer mee doen zonder gebombardeerd te worden met verzoeken van salesmensen. Even wat opzoeken op de site terwijl je ingelogd bent of een online video kijken en je mailbox staat weer vol.

Sowieso lijkt de hele IT security veel commercieler te worden. Ik mis de hacker conferenties waarbij alles gaat over het delen van technische kennis. Tegenwoordig wil iedereen die je tegenkomt alleen maar geld of gegevens van je (die gegevens om je weer te bestoken met salescalls). Maar misschien komt het doordat ik er steeds meer professioneel mee bezig ben.

[Reactie gewijzigd door GekkePrutser op 23 juli 2024 08:50]

beastdjw 2 februari 2022 11:26
Jeutje, wat voel ik me dom als ik dit artikel lees.... Gelukkig zijn er de reacties van lezers die me op weg helpen.
Rohem @beastdjw2 februari 2022 11:33
Je bent niet de enige met dit gevoel als ik de andere reacties zo lees. Er wordt net iets teveel gestrooid met onnodige details terwijl andere belangrijke uitleg helaas is weggelaten.
Kevinp 2 februari 2022 13:29
Mag ik het zo samenvatten dat bedrijf DIVD een bedrijf is wat kwetsbaarheden zoekt. En dat dat bedrijf zijn eigen gevonden kwetsbaarheden nu officieel mag registeren. En dat dat registeren gebeurd doormiddel van een CVE nummer wat een wereldwijd manier van communiceren van kwetsbaarheden is?
seccubus 3 februari 2022 18:52
Inmiddels is de scope van DIVD ook aangepast op de CVE website. (https://www.cve.org/Partn...stofPartners/partner/DIVD)

DIVD mag CVE IDs toekennen voor bugs die ze zelf vind of bugs die anderen aan ze melden om ze op een verantwoorde wijze aan de leverancier te melden.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq