Beschikbaarheid
Bij DIVD houden we ons aan het ‘Principe van Proportionaliteit’ en het ‘Principe van Subsidiariteit’, zoals beschreven in onze Gedragscode. Dit betekent dat ons onderzoek de integriteit en beschikbaarheid van alle online systemen moet vergroten en niet verminderen. Als er verschillende middelen beschikbaar zijn om aan de behoefte te voldoen, kiezen we voor de optie die de minste impact heeft op de beschikbaarheid van de systemen en diensten.
Case
Wanneer DIVD spreekt over een “case”, verwijzen we naar een record of bestand dat is aangemaakt om het proces van het aanpakken van een specifieke kwetsbaarheid te documenteren en te beheren. Dit bevat doorgaans details zoals:
Beschrijving van de Kwetsbaarheid: Informatie over de aard en specificaties van de kwetsbaarheid.
Fingerprint Creatie: Een unieke identificator of handtekening voor de kwetsbaarheid om te helpen bij het identificeren van getroffen systemen.
Scannen en Identificatie: Het proces van het scannen van systemen om gevallen te vinden die kwetsbaar zijn.
Kennisgeving: Het informeren van de eigenaren van de kwetsbare systemen over het probleem zodat zij corrigerende maatregelen kunnen nemen.
Deze gestructureerde aanpak helpt ervoor te zorgen dat kwetsbaarheden systematisch worden gevolgd, beheerd en opgelost.
Vertrouwelijkheid
Bij DIVD werken we dagelijks met gevoelige gegevens. Denk aan lijsten met IP-adressen, soorten gevonden kwetsbaarheden, contactinformatie en metadata (bijv. tijdstempels, scripts, onderzoekers die aan de gegevens werken). De leden van DIVD nemen alle nodige voorzorgsmaatregelen om de vertrouwelijkheid van deze gegevens te beschermen.
(Ethische) Hacker / White Hat Hacker
DIVD-leden behoren tot de “white hat” hackers. Een white hat hacker is iemand die met positieve bedoelingen inbreekt in een computersysteem, zonder enige diensten of processen te verstoren. De motivatie van een white hat hacker is het detecteren van beveiligingskwetsbaarheden, zonder deze te misbruiken of uit te buiten. Een white hat hacker wordt soms ook een ethische hacker genoemd. Onze leden zijn bekwame professionals die altijd binnen de wettelijke grenzen moeten opereren. Lees onze Gedragscode voor meer informatie. De term ‘white hat’ komt van cowboyfilms waarin de held altijd een witte hoed droeg.
Exploit
Een exploit is een kwaadaardige applicatie, stuk code of script dat kan worden gebruikt om misbruik te maken van een kwetsbaarheid in een systeem. Bij DIVD gebruiken of draaien we geen opdringerige exploits om het bestaan van een kwetsbaarheid in een systeem te verifiëren. Destructieve opdrachten zoals “$ rm -rf /” of testen op denial of service zijn in geen enkel scenario toegestaan. Als er verschillende middelen beschikbaar zijn om aan de behoefte te voldoen, kiezen we voor de optie die de minste impact heeft op de beschikbaarheid van de systemen en diensten.
Responsible disclosure
In cybersecurity verwijst responsible disclosure naar de procedure waarbij een beveiligingsanalist, ethische hacker of ethische hackerorganisatie zoals DIVD een organisatie op de hoogte stelt van een gedetecteerde kwetsbaarheid in haar systemen of software. Dit gebeurt op een manier waarbij de organisatie de mogelijkheid krijgt om de zwakte te mitigeren voordat deze openbaar wordt en mogelijk misbruikt wordt door hackers met kwade bedoelingen. Door organisaties privé op de hoogte te stellen, kunnen zij de kwetsbaarheden aanpakken voordat ze worden geëxploiteerd door kwaadaardige hackers, waardoor de beveiliging van hun systemen verbetert.
Responsible disclosure helpt gebruikers te beschermen, behoudt het vertrouwen tussen (DIVD) onderzoekers en organisaties, en draagt bij aan de voortdurende verbetering van cybersecuritypraktijken.
Security.txt
Security.txt is een voorgestelde standaard voor websites om een duidelijke en consistente manier te bieden voor beveiligingsonderzoekers om beveiligingskwetsbaarheden te melden. Het houdt in dat er een eenvoudig tekstbestand met de naam security.txt wordt geplaatst in de welbekende locatie /.well-known/ directory van een website (bijv. https://example.com/.well-known/security.txt). Dit bestand bevat contactinformatie en andere details die onderzoekers begeleiden hoe ze beveiligingsproblemen op een verantwoorde manier kunnen melden aan de organisatie. Wilt u het werk van DIVD makkelijker maken? Plaats onze security.txt in de code van uw website en zet ons IP 194.5.73.0-255 op uw toelatingslijst.
Soorten kwetsbaarheden
Er zijn verschillende soorten kwetsbaarheden. Aangezien DIVD IP-adressen over het publieke internet scant, richten we ons voornamelijk op webgebaseerde kwetsbaarheden. Een goed voorbeeld van een database gevuld met webgebaseerde kwetsbaarheden is The OWASP Top 10.
Kwetsbaarheid versus exploit
Een kwetsbaarheid is een probleem of zwakte in een systeem of applicatie, terwijl een exploit een actief onderdeel is dat wordt gebruikt om een aanval uit te voeren. Het doel van een exploit is om een kwetsbaarheid ‘uit te buiten’. Een kwetsbaarheid zelf veroorzaakt geen schade, maar creëert een mogelijkheid voor een aanvaller om deze te exploiteren.