image

DIVD maakt conclusies openbaar van onderzoek naar verdachte vrijwilliger

vrijdag 22 september 2023, 10:10 door Redactie, 3 reacties

Het Dutch Institute for Vulnerability Disclosure (DIVD) heeft de conclusies openbaar gemaakt van het onderzoek dat werd uitgevoerd naar een vrijwilliger die ervan wordt verdacht betrokken te zijn geweest bij het stelen van miljoenen gevoelige persoonsgegevens bij meer dan duizend bedrijven, om met de gestolen data deze bedrijven vervolgens af te persen (pdf).

Het DIVD scant met behulp van vrijwilligers op internet naar kwetsbare systemen zodat het betrokken organisaties kan waarschuwen. Daarnaast doet het beveiligingsonderzoek. Zo ontdekte een DIVD-onderzoeker een zeer kritiek beveiligingslek in de software van Kaseya dat bij een wereldwijde ransomware-aanval werd gebruikt. De vrijwilligersorganisatie ontdekte ook dat een miljoen omvormers voor zonnepanelen via een gelekt wachtwoord kwetsbaar voor sabotage waren. Eind 2021 besloot het ministerie van Economische Zaken om het DIVD de komende drie jaar te subsidiëren.

Daarnaast is het DIVD ook een CVE Numbering Authority (CNA) geworden, waardoor het CVE-nummers voor kwetsbaarheden kan registreren. Eind vorig jaar waren er verschillende partijen in de Tweede Kamer die overheidssubsidie voor ethische hackers zoals het DIVD willen. De VVD pleitte vorig jaar september nog voor een formelere rol voor DIVD in het digitaal beschermen van Nederland.

Begin dit jaar bleek dat een van de drie mannen die door politie was opgepakt in een zaak rond grootschalige datadiefstal een DIVD-onderzoeker is. "De missie van DIVD is het veiliger maken van het internet. De zaken waarvan hij wordt verdacht staan lijnrecht op deze missie. Het mag duidelijk zijn dat wij geen enkele weet hadden van criminele activiteiten van de vrijwilliger, of een vermoeden hadden dat hij zich met dit soort zaken bezighield", zo liet de organisatie destijds weten.

Onderzoek

Naar aanleiding van de arrestatie van de vrijwilliger vroeg DIVD securitybedrijf Fox-IT om een forensisch onderzoek te doen op systemen van DIVD. "We hebben Fox-IT gevraagd of de verdachte gehandeld heeft in strijd met de DIVD Code of Conduct en of er indicaties zijn dat er door hem misbruik is gemaakt van informatie van DIVD in relatie tot de zaken waarvan hij wordt beschuldigd."

De conclusies van het onderzoek zijn door het DIVD openbaar gemaakt. Daarin staat dat Fox-IT geen sporen heeft aangetroffen waaruit aannemelijk wordt dat de DIVD Code of Conduct door de vrijwilliger is geschonden. Ook zijn er geen activiteiten geïdentificeerd waarbij onder het gebruikersaccount van de vrijwilliger naar kwetsbaarheden is gezocht op externe systemen die ongewoon zijn voor DIVD.

Verder zijn er ook geen activiteiten gevonden waarbij onder het gebruikersaccount van de vrijwilliger data is gekopieerd naar een locatie buiten de DIVD-omgeving. Tevens zijn er geen aanwijzingen gevonden dat onder het gebruikersaccount van de vrijwilliger die wijzen op oneigenlijke toegang tot gegevens van DIVD.

Wel zijn er verschillende verdachte activiteiten met het gebruikersaccount van de vrijwilliger waargenomen. Zo zijn er timestomping-acties uitgevoerd, is de commandogeschiedenis op bepaalde momenten uitgezet en is er een wachtwoordhash te zien in Metasploit-commandogeschiedenis. DIVD zegt onderzoek te hebben gedaan naar deze activiteiten en heeft in de gevangenis een gesprek met de vrijwilliger over deze bevindingen gehad.

Wat betreft de wachtwoordhash had dit te maken met de zaak waar de vrijwilliger op dat moment bij het DIVD mee bezig was. De verklaringen voor de overige twee activiteiten zijn volgens het DIVD op zichzelf geen schending van de Code of Conduct en doen geen afbreuk aan de conclusie van Fox-IT. "Op basis van het Fox-IT onderzoek en onze eigen vervolg op dit onderzoek, concluderen we dat er geen bewijs is dat de verdachte misbruik heeft gemaakt van DIVD systemen of informatie", zo laat DIVD weten.

Reacties (3)
22-09-2023, 10:27 door Anoniem
In de conclusie op de DVID-site staat nu een cruciaal foutje in de voorlaatste zin van de NL-tekst: "Ongeacht het feit of deze verklaringen geloofwaardig zijn of niet, zijn deze twee acties op zichzelf geen schending van de Code of Conduct en doen zij geen afbreuk aan de de conclusie van Fox-IT dat er sporen zijn waaruit het aannemelijk wordt dat de DIVD Code of Conduct door hem is geschonden."
Dat moet natuurlijk zijn: "... de conclusie van Fox-IT dat er GEEN sporen zijn ..."
In de engelse tekst staat het wel goed.
22-09-2023, 19:49 door Anoniem
"Wel zijn er verschillende verdachte activiteiten met het gebruikersaccount van de vrijwilliger waargenomen. Zo zijn er timestomping-acties uitgevoerd, is de commandogeschiedenis op bepaalde momenten uitgezet en is er een wachtwoordhash te zien in Metasploit-commandogeschiedenis. DIVD zegt onderzoek te hebben gedaan naar deze activiteiten en heeft in de gevangenis een gesprek met de vrijwilliger over deze bevindingen gehad."

Dus hoe hebben ze dit kunnen bepalen als ze op bepaalde momenten de commando geschiedenis werd uitgezet? Waarom is dit dan gebeurd en wat is er toen op gebeurd? Uiteraard gaat meneer niet iets daar over verklaren als zijn nog niet eens echt is voorgekomen?
25-09-2023, 18:19 door Anoniem
Nau, weten we ook gelijk dat we niet bij de DIVD vrijwillig code voor ze moeten schrijven en hun helpen met beveiligings onderzoek, want als je iets flikt dan gooien hun jou gelijk onder de bus om hun goede naam te behouden.

Echt smerig zijn ze.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.