 Je weet mij als Chris, team-leed-muziek. Je maakt muziek de hele dag. Mijn ogen stijgen nog een beetje voor sprakeloos. Maar ik sta in front van je als directeur van het Duitse Instituut voor Van Ability Disclosure met mijn team. Dus in reverse order, je zal zien Aschrit Ozenbrug, hier bij MTA's. Hij is de officier bij de Bar Operations Centre en ook de chair van de Cyber Operations Centre. Maar bij de DIVD is hij de chair van de board. Leonard Outhorn, hier bij MTA's, juggelen er rond met een hele aantal zeros. Ik weet niet wat het betekent, maar het is heel belangrijk. En bij de DIVD is hij de head of CSERD, die is niet de Computer Security Incident responsief voor onze eigen organisatie, maar voor de hele wereld. Dat is waar we onze notificaties over de rest van de wereld hebben. En als de DIVD zelf is in crisis, we hebben Frank Bredijk, onze crisis manager, maar hier bij MCH is hij de chief officer bloenfolding, natuurlijk, en hij is ook de superadmin van onze hyperintelligent TELIX, door die je kan senden code messages en hij heeft ons muzikale gegeven op de staats door zijn TELIX. Dus bedankt voor dat. De DIVD, de Dutch Instituut voor Van Ability Disclosure. We scannen de hele IP version 4 van de internet, die is veel. En dit is de tweede keer dat we hier zijn. Want als je het remembert, twee dagen geleden hadden we dezelfde talk, maar in de middel van onze talk was iemand op de internetkabel gebouwd en dan was de hele plan gevolgd. Dus we gingen nog steeds online, met een hele mooie Q&A, maar als je het hoogt, miste je de hele talk. Dus dit is take two. Dus we hadden een geweldige rehearsie. Maar ja, we zijn twee dagen later, dus we zijn al een beetje gebouwd. Maar we maken het beste van het. De Dutch Instituut voor Van Ability Disclosure. Dit is onze missie. We willen de digitale wereld vaker maken door de hele internet te scannen. De reportage van van abiliteiten vinden we in digitale systeem door de manen die ze kunnen fixen. Dus die zijn meestal de ouders van de systeem, maar soms ook vandaar of zeer, of zeer ISPs. Doe de notificatie voor. Je hebt deze oude software en je vergelijking is vervolgd. Please fix it, make it safer. Dat is wat etical hackers of helpful hackers, hoe je ze zou willen proberen, normaal individueel naar een individuele systeem. We doen dit op steroids om het voor de hele internet en de hele collectie voor de hele wereld te doen. We hebben een globale reach want we scannen de hele internet en we notifyen het, maar we doen het Dutch style. Dat betekent dat het heel open is. We gebruiken onze reale naam. Het is niet echt hack-alike. We gebruiken niet pseudo naam. We hebben ook een office. Je kunt het even proberen. Dat is niet heel typisch voor een hack-collectie. We doen het collaborative. Dus we werken samen met veel partneren. We doen het niet exclusief. We werken met iedereen om de internet te maken, zoals de Red Claw Cross helpt iedereen. En above all, we doen het voor vreemd. We doen het Dutch-like-vreemd, maar het heeft ook een legale consequentie waarom we het doen voor vreemd. Dat brengt ons naar... Wat lijkt het op onze dagelijks practie? Een beetje zoals dit. We hebben een aantal systeem. 50559. Dus je kunt ons bekijken. We kunnen ons op de allow-list niet op de blog-list zodat we je kunnen scannen. Door deze IP-series. We hebben het ook gezegd. We downloaden de hele list van IP-series voor de vulnerabilities we scannen. Dus typisch er is een cv uitkomt met een mooie nummer en we weten welke versie. Dus we senden de ping tot de hele wereld. Welke versie? Jij rijdt. Oh, je hebt een oude versie. Van de who is. We bekijken je e-mail-series en dan reporteren we je op onze league. We hebben ook een brand van research waar we 0-day research doen. Dus dan is het niet een zon van vulnerability. Maar we hebben al begonnen scannen en we hebben gepraat in het proberen om het met de vendeur te solven. En wanneer er een patch is. We warnen de hele wereld. Als je gewoon de versie van een software vraagt. Wel, dat is geen rocket science. En dat is ook legaal. Maar soms moeten we wel een soort van non-weaponise exploits om je systeem te scannen. En dat is waarschijnlijk waar dingen kunnen worden een beetje taggy. Are you allowed to scan the whole internet? Well, nobody asked you to do so. Nobody allowed you to do it. In a strict sense, it's illegal. We kind of violate all sorts of computer fraud laws. We also kind of violate the GDPR. Because all those lists with IP addresses and email addresses. Those people never asked us to use them. And moreover, we also hand them to others. So why do we get away with it? Check our code of conduct. It's on the website, it's two pages. But these are the three most important principles. Which are not just something we made up. But something which comes out of case law in the Netherlands, but also international. Because you can commit a kind of computer fraud slightly if you do it for societal need. So if you're not being paid for it or you do it out of revenge or to prove yourself. No, you just do it to help. There's no financial incentive. And you see that, well, there's this huge need. Because if we don't, these people remain vulnerable. And then the computer criminals get in there. And it's even worse. And also we kind of violate your privacy slightly in order to prevent a much larger privacy invasion. So therefore societal need is in several court cases the first thing a judge looks at. Did you do it just to help people? Yes. But if that is established, the judges look further because you can't just hack anything. Saying, oh, it's for the good cause. So yeah, I broke it down, blah, blah. And yeah, that the system is not running anymore. What's there for? Because it was broken anyhow. No, you can't do that. There comes in the principle of proportionality. So the means you use to order to achieve this goal is in proportion to what you try to achieve. So again, you can, well, for example, try to reset an account on admin or info just to see whether the procedures are right. But if you start to reset 100,000 accounts and the system goes down, well, you prove it's not really safe, but it's a too harsher measure. Also, if we cannot just scan for a version but we need to use non-weaponized exploits as if, you know, you're hacking them, the exploits shouldn't ruin the system. You're there to make it safer and not unsafe. So if you have established that, you have a sort of proof of concept that you can scan for good and it is proportional to what you're trying to achieve, you reverse the process and that's the principle of subsidiarity. Okay, this is what we want to achieve. This is the means we found for it. This is the scanning method. But can we also use another method which is less invasive? So, for example, you can enter a database. You can look around, of course, see what's in there. It's a true database, it's actual, it's running. But please just make a screenshot of the folders and go. Don't start downloading all this data because you don't need it. It's not proportional and there are less severe means to use it, subsidiarity. So, somewhat for the legal ethical stuff, the boring stuff. Now we go to the part where you came for, the case studies, the kind of researches we did. So, we take you back in time, a year. Remember the 2nd of July, the biggest ransomware attack ever took place in the world on Cassay-Faiza. These criminals thought they could hack about a million organizations with their ransomware. But what they didn't know then was that the DFD was already two months on the case. En, als dit een crisis is, ik zal het nu naar onze crisismanager handen. Frank! Dankjewel. Daar gaat het. Daar gaat het. Ja, Cassay-Faiza. Ja, het was een van de grootste cases we hebben gegaan, tot nu toe. Nou, dat was mijn lijn wanneer ik begon te praten over SolarMan. Maar het is eigenlijk een case die begon met Wietse Olnarijt, die hier in een foto met Victor, die onvermiddelijk niet met ons zou kunnen zijn door een heilige issue. Victor, ik hou van je. Ik wil je hier hebben, maar ja. Ja, goed. Cassay-Faiza is case 2021-0011. Ja, en hoe begint het? Nou, Wietse Woonstra, hij zit daar over. Hij is een penetratie-tester van de dag en een DFD aan de meeste van de nacht, zoals Jan Bosch opgemaakt. En hij was een pen-tester van een customer en ontdekte een product called Cassay-Faiza. En als hij op een netwerk opgepakt was, om in te vinden, om in te vinden, om naar zijn vlag te krijgen, is hij zo, hmm, dit zit niet goed met mij. Ik denk dat er meer is te hebben, maar ik ben uit tijd gegaan. Dus Wietse Woonstra, hij heeft de software gehaald, installeerde het in zijn lab en begint te spelen met het. En was het veilig? Nou, niet echt. Ineerlijk ontdekten we rond 7 CVEs, 3116, een credentials league en een business logic floor. Credentials league, in het sens dat je kunt lopen, je kunt op het systeem zeggen, hey, ik wil mijn agent installeren. Je krijgt een installer file. Of je installeerde het agent, er was een ene file. En in het ene file waren er credentials om te loggen. En die credentials waren credentials voor een agent, maar je kon ze veel meer gebruiken. We hebben ook een authenticeerde SQL injection vulnerability, een manier om naar de database te rijden. Ik denk dat het een blinde was. Dus je kon niet eigenlijk data krijgen, maar je kon data in de database krijgen. Een onauthenticeerde remote code execution vulnerability, several cross-site scripting vulnerabilities. Ik denk dat we ze allemaal ontdekten. Ze dachten dat het smart was om 2-factor authenticeerde ontdektingen op de klienzijde. Het is niet. Dan ontdekten we de lokale file-inclusie vulnerability in het agent. Nou, we hebben een XML external entity attack. En dat gaf twee theoretical attack paths. We hebben een, waar je de authenticeerde bypass doet, dan gebruikt je de SQL injection om eigenlijk jobs te rijden in Kaseya. Dit is een system administratie tool, dus je kunt jobs rijden om te zeggen, je weet wat, installeer de cryptominer. En ik vividtel remember jokend om te zeggen, hm, of niet echt jokend om te zeggen. Ik dacht, ik weet niet, dit kan groot zijn. Dit zijn service providers. Ze hebben customers. Normaal service providers hebben 100 customers. Customers hebben 100,000 systems. Er kunnen veel systems zijn. En dan zegt het, als we een authenticeerde bypass en een SQL injection doen, dan kunnen we kijken naar het database en vinden hoeveel klien en hoeveel systems dit is. En dan zegt het, als we dat doen, dan zouden we een cryptominer installeren op alle dingen en het is zo, oké, dit is waar we stoppen. Sommige dingen over etica en proportionale en subsidieën, al die bovenstof dat Chris praat. Later op, we hebben ook een remote code execution die onauthenticiteit was, die was, ja, even scarier, ik denk. Ja, en met dat werk in het database, je kon eigenlijk laten die klien doen. Zodra ze een kaseya-faseya doen, zouden ze wat voor werk doen. Dus wat hebben we gedaan? Nou, wat hebben we gedaan? We, eerst van de kaseya-faseya, en kaseya is heel kooperatief met ons. Ik denk dat het twee dagen later of een dag later dat we in een call met de cto waren, die echt scoort was dat we een Amerikaanse partij waren die ze 30 dagen zouden geven om alles te fixen en dan zou alles gepubliceerd worden. Ja, ik denk niet dat het de internet meer veilig maakt. Als je dat debat wilt hebben, laten we het uitbouwen met een bier. We hebben een sterk focus op het fixen. Ze hebben me several times re-test-vindings gehoord als ze het fixen hebben. In de meantime konden we een NSE script, een NMAP script, om de kaseya-instances voor te scoort. En we konden daar op scoort, want er was een open API endpoint. En het open AP endpoint heeft de IP-adressen van welke versie het was opgemaakt en een customair code. En dat was een 4-digit customair code of 4-letter customair code dat kaseya wist welke customair het was en dat turned out to be quite handy. We vonden about 2200 kaseya-instances, remember each having about 100 times 110,000 systems connected to it. Maybe we never actually found out, but it was huge. We didn't do a disclosure at that point in time because at that point in time, if we would have done a disclosure, we were afraid that this would lead to a very significant ransomware campaign. So fast forwarding to the 2nd of July. I was sitting by the campfire with my group of scouts. I'm a member of scouts, so I feel very at home here among the hackers and the scouts. And you know you're in trouble when you walk away from the campfire and you've missed 30 calls and got about 90 messages. We had a similar experience. He's got a ping from kaseya. It's like, hey, can you come online in a meeting? He opens up his desktop for some reason he had LinkedIn open. I don't think you're searching for a job anymore. And there was like this news article, ransomware attack on kaseya faiseya. Okay, fuck. So we started a crisis call. And then we remembered, yeah, but we have a list of exposes faiseya-instances. Now we do need to verify, it was about a month old then. We did send out notifications, hey, you're likely running kaseya via zae. It's a good idea to not connect it to the internet anymore. We provided a list of services to kaseya. We helped them with the crisis management. We helped them with their decision to take the system, the SaaS service offline. We started in Newscan with ZMAP and that NMAP and that NSE script and we rinsed and repeated. And then our then CISO was like, fuck. Did they attack us? Did they get the exploits from us? Whoa, they did something differently, it turned out. They are using the same authentication bypass that we found, but they were using a different vulnerability, which was a file upload vulnerability. Arbitrary file upload, then call the file, which called for local file inclusion, file code execution, and then update the task list and install ransomware everywhere. En, by the way, they do went for money. The other reason why we think they never hacked us is, well, a, a thorough investigation. Thank you for that. The other part was we had this more nasty exploit here on the top. We had a direct remote code execution. We would have made this attack so much more efficient from their perspective and so much more hurtful for us. It worked. As in the number of case of instances in our baseline scan one and two was about 2,200. Overnight it dropped to about 600, then it dropped during the day to about 50. And on the 4th of July, obviously on the 4th of July, I remember having calls with people who were on boats with barbecues in the background, it even dropped lower. Part of these things went offline because they got cryptid and companies were in panic mode. Others went offline because we told them so. And I actually got the feedback like, yeah, yeah, yeah, this is the third time we're being called to take it offline. It was just a system to see what happens. We're taking it offline. And on the 4th of July, there were no case of VSA systems online in the Netherlands at all. But it also didn't. Because co-op supermarket in Denmark had to close down 500 stores. About 1,500 organizations got their entire businesses cryptid. Were crippled. Which reminds me of Miko's tweet. Miko's tweet from a while back, rarely has anyone been thanked for the work they did to prevent a disaster that didn't happen. We were planning to do that. We failed and we got thanked profusely. Why wasn't the SAS version affected because there's also a SAS version of VSA? Well, because it doesn't have the authentication bypass, they use a different method. Everything else worked but the authentication bypass. So if we would have been hacked, the disaster would have been a lot bigger. So one of the things we got challenged on is the long way to exposure. Why didn't we disclose earlier? Like I said, we had better exploits than refill. It would have worked on the SAS version 2. They would have made a bigger disaster. But we did learn to be more firm on vendors. Because if you wait too long, you'll be the next. If you get a call from us that there's a problem with your product, it's kind of nice if you listen. It had a very satisfying ending in the sense that the refill ransomware gang was arrested in Russia. Which is all the better. But yeah, and it put us on the map. Which leads me to the second case, Leonard. Hallo. Yeah, it works. All right. Like you can see on the screen, sorry. Yeah. I wanted to talk about two different cases that were quite unique for us and that's why I think they're interesting to talk about. They're the global charities and our global healthcare case. Like Chris told you earlier, we're usually scanning for known CVs or in the case of Kaseya working with vendors to disclose around zero-day research. But these two are different. The cases we ran were 39 in 2021 and we've already surpassed that number in 2022. So we're working really hard at that. And we were happily checking along with that and then this happened. A cyber attack on the Red Cross where data of vulnerable people was in danger. So the cyber attack happened because of an unpatched server and the server happened to be managed engine from Zoho. And at that point we were like, we know this name. Have we looked at this? Did we not look at this? Why wasn't this prevented by us? So we looked back and we were like, hey, we did make a slack channel for this. We looked into it. But sadly it turned out that there was no benign way to scan for this vulnerability without a very high chance of harming the systems so we couldn't scan for it and warn the users. Which made us quite sad because we really wanted to help. But in helping, of course, we have to follow our code of conduct. We're not for hire. We don't target individual organizations. So at this moment we had to be a little hacky of our own code of conduct en instead of targeting a single organization we wanted to help like the Red Cross, we decided to scan all the charities and healthcare providers we could find. This resulted in two new cases, which you can see here, our global charity vulnerabilities and our global healthcare vulnerabilities cases. And this was for us an entirely new approach because usually we send an email and then for a commercial party, hey, you know now, you are aware, please fix it's your responsibility. But we really cared about these NGOs and charities and all the good work they are doing. So we really wanted to help them, give them a bit more aftercare, really chase down the fixes, do the follow-up and for a change, we were not scanning for a single vulnerability. We were scanning for all the things we could find that would put these organizations at risk. So we did it. We managed to help them, find a lot of vulnerabilities, get a lot of them resolved, receive nice thank you messages and then you think we're done. No, we're not done now. Because what's next? We have these lists of IP spaces and domains that we can now link to these organizations whose work we find so important. So in any new case that we run, we can check our list of results for these organizations and give them the same aftercare that we did in these two unique cases. And that's how we'll be moving forward, trying to help these organizations that also do their best to make the world a better place. We think it's really needed as we see a pattern in these organizations that they're so busy doing the good work or in cases of charities and NGOs not always have the funds to do cybersecurity well. And that's a pattern we're seeing in various cases and one of these different cases is the Zimbra case which Frank will now tell you a bit more about. Yeah, Zimbra. Zimbra was a different case. It was one of those cases where we looked for something that was already being exploited. And with Zimbra, it was a cross-site scripting that was used in Operation Email Thief. The dear people at Vlexity who do some excellent work every now and then actually identified a campaign in which an attacker first sent a reconnaissance mail. Dan, a couple of days later, send another mail if the account was actually active. And if somebody clicked on the mail while being logged into Zimbra Webmail, that link would successfully redirect to a URL and all your email would go to their CNC server. All of it. So Zimbra is a product that's like Outlook or Exchange. It's a groupware product, email client, scheduling, those kind of things. And it had a lot of potential victims. Back on that first date, the 14th of December, there were roughly 65,000 Zimbra servers in the IPv4 space that were all vulnerable. And there were things like European government bodies, media, universities, Ukraine government and ISPs, Russian government bodies. Those kinds of organizations are important. Data getting stolen from universities is not a good thing generally. On the 7th of February, the number of vulnerable servers was reduced to 31,000 because at that point in time, there was actually a patch. Some people could patch. But this was still exploited in the wild. That number went down on the 14th of February to about 24,000. And then it's stabilized on the 14th of March. But we're not really sure if it's stabilized because it turned out that there were two ways to upgrade your Zimbra server. One is chuck it away, get a new one, install the new software. The other one was a hot fix. And that hot fix did fix the vulnerability but didn't change the version number in the front-end. So we were doubtful if those numbers that we were seeing were actually vulnerable clients. So at that point in time, we decided, okay, we're not gonna continue on this path. We did some research. We couldn't find any more reliable way to do fingerprinting. And that was the end of this talk. With that, I'm gonna give it over to Astrid. And while Astrid is coming here, it's one of those cases where you end up not on high, but with a little bit of info, yeah. I was just listening to your talk and I was really impressed. So I only have two hands and now I have three things. Well, hello everybody. I'm gonna tell you something really exciting about governance. Who doesn't want to know anything about governance. Let's see how this works. I'm gonna tell you a little story. It started somewhere in winter 42. No, I'm just kidding. It started with a man with a dream. His name, his nickname is OXDude. I don't know if you've ever heard of this guy. It's Victor Gavers. I hope you can see the stream now because last time I gave a big shout out to you. Victor is, well, he's getting better at the moment. So he can't be here, but Victor, we love you. We miss you. We're very proud of you. And I'm gonna tell the story about DIVD. They call it Dutch Institute for Vulnerability Disclosure. I call it, this is Victor's Droom. This is Victor's Dream because it all started with this dude. So please a big shout out, a big hand out to Victor. We miss you, we love you. Thank you. I'm not gonna cry this time. So I'm just gonna tell the story because Victor started this whole dream in his own way. In his own way, like he took a sabbatical, not in 2014, 2015, or 2017, no, in 2016. Because it was a leap year or so, there was one more day, 360 days, and he could find vulnerabilities. He did, he did a lot. I don't know the number, but it's really big. And this is how it all started. And then he wanted to make his dream bigger en he asked Chris and me to help him. En, well, then Frank came, Leonard came, and then hundreds, no, I say hundreds, but hundred volunteers came. And this is how we became this bunch of nice people. We have a supervisory board, we have a board, we have a director, we have a management team, and 100 volunteers. We are looking all happy here. So, well, I think we are. So now you can see this beautiful picture about how we thought about how you make a good volunteer organization. What do you want to do? You want to make sure your volunteers are happy. So, we have a board, we have a supervisory board who tells us to take care of this and don't do that. And then we do it anyways because we are a bunch of hackers. And we also have our director, Chris, who never done this before. So, that is why we wanted him. We have a research, we have C-cert, we have operations, we have HRM, communication, finance, compliance. It almost sounds like a real company, but still it's built with people who never done this before. And we are doing a fucking awesome job, just saying. Then the next step we decided to start is the academy because we have a lot of youngsters who want to become a hacker. But, well, sometimes you have to teach them how to do it in an ethical way. And this is what you call the advanced kitten herding, which we have a big dream with the DIVD academy. We also have a board there. I have to say, we are a real own foundation since two days. So I'm very happy to announce it finally worked. Barry van Kampen, also known as Fish and Victor Gevers, also known as Xerox Dude. And me are the founders. We have a hell of a board. We have Max, he's sitting somewhere there. We have Charesth, and we have Barry as the chair. En what we really want to do is to teach our youngsters because we are all getting old, not me, but other people are getting old. And we want to learn them the stuff. They have the skills. They don't learn it at school. They want to make the world a better place. DIVD wants to make the world a better place. We need our youngsters to start learning stuff like this. We dachten, we gaan het school system hebben. We gaan onze eigen school ontbouwen. Dat is de DIVD academy. Ik kan dat zeggen, maar ik ga je niet meer boren. Als je niet meer wilt, dan vraag ik me. Dit is een heel belangrijk ding ook. Want we zijn zoals Christold, de DIVD. We doen het in een Duitse manier. We zijn focussend op Duitse, of wat. En dan hebben we gezegd dat we onze paarden in de wereld nodig zijn. Zoals in elk landen. We hebben echt een DIVD nodig, die hetzelfde doen. Dus we starten C-Cert Global met EWI 3-Hijs. Ik ben niet zeker of het in de stok was. Maar vanavond, of vanavond, op 11. Chris zal je meer vertellen over dat. Maar dit is echt belangrijk. Omdat we de internet te groeien, om de toekomst voor alle van ons, voor onze jongens, en voor mezelf. Ik wil één dag, als ik heel oud ben, ik ben nog heel jong, ik wil op de internet zijn. En ik geniet van de informatie. Ik wil behoorlijk zijn. Ik wil met iedereen praten. Ik weet in een veilige manier. En ik denk dat we, op de DIVD, dat kunnen handelen. Is dit het moment dat ik je de microfoon geef? Oh, kijk naar onze tent! Oké, ik ga... Ja. Dat wilde ik ook. Zo, dit was de vorige deel, ja. Nee, het is niet de klikker. Oké, dankjewel. Dankjewel, Astrid. Ja, dus je kunt ons hier zien, over de Abacus. Dit is onze tent. Je hebt de lawnmower gezien. Ja, Wietse heeft dat ook gehakt. Wel, niet alleen dit device, maar de online platform. Dus hij maakt nu alle lawnmowers hier naar MCH. Als je hem aan de gaten zit, is het Wietse. Je kunt daar komen, als je de DIVD wilt joinen, als researcher of seerserter. En als je wilt builden van je eigen kapot in je land, over drie uur zal we een prachtig talk geven op 11 uur. We zijn al een kapot in de U.S. en de U.K. En deze kapotten, ze veranderen ons de vindingen van het lokale context. Dus je kunt imagineren dat, als we een list van IP-adressen hebben op de U.S., we kunnen ze e-mails senden, maar ze weten niet wat de IVD is. En ze mogen wel een fraude of een paar krimineels. Als er organisaties in de U.S. Ze kunnen ook veranderen naar hun constituenties op wat dit eigenlijk betekent. Ze kunnen ook veranderen. Researchers in de U.S. kunnen ook met ons werken, door C-Cert Global, zodat we een scan kunnen kunnen met hun methoden, etc. Ik ben echt aan het kijken naar een German chapter. Dus dit is m'n kriout om alle gewone Germanen helpen uit op mch. Ik weet dat vondabiliteit in Duitsland heel moeilijk is in Duitsland, speciaal door de Nederlands. Wat we nodig hebben. En dit is ook een collega van de Belgische collega's, omdat vondabiliteit in Duitsland in Duitsland veel makkelijker is. Maar we moeten ook wat traditie nodig hebben. Frans, iets zoals dat. En we werken ook op Zweden en Japan. Dus hopelijk gaan er meer landen mee. 1040. 1040, niet 11. Ah, 1040, heel goed. Want dan is hij gewoon afgekomen voordat het simpony van de fire begint. Ik weet niet of iedereen daar wil gaan. Dus join Emworth, hij praat. Dus je kunt ons in de tent joinen. Om vondabiliteit in de collega te spelen. Om een member te worden. Je kunt alle soorten jobs doen op communicatie, op legal, zetten koffie of nieuwe logo design, iets zoals dat. En het is leuk om te doen. Dus als je ons wil online, kun je het doen. Dus en als je ons joinen, kunnen we vragen hier. Maar ook vragen van de internet voor de mensen waarom. Zijn er vragen van de internet? Misschien later. We hebben een vraag hier. Goed, go ahead. My question is, do you have plans for IPv6? And if so, what are they? Sorry? Do you have plans for IPv6? And if so, can you tell us what they are? Plans for IPv6? We can't just run a scan on IPv6 because it's too large. But do we have any work around to unfold that? One of the reasons we're here is because there's a great bunch of brilliant minds here. One of the obvious solutions would be to ask everybody what your IPv6 range you actually use and give it to us to scan. Unfortunately, that means we are scanning for a higher company then. So ethically, we can't go there. Otherwise, I think the plans are a bit hard. We are aware of the problem. That's a good start. Real, actionable plans right now, no. It's just too large to scan the entire space, but there would be options, like looking at which blocks are announced, et cetera, to reduce the space that you need. We're also in touch with an amazing PhD researcher in Glasgow, who does her master thesis about this. So we're aware of the problem and we're looking how we're gonna scale up and how we deal with it. But for now, most servers still have an IPv4 address. So we can just get by like we do right now. Plus, it's not that we don't care about IPv6. If we come across in Shodan, something in the IPv6 range and we can inform people, we will. But it's just too big to scan or Shodan or other senses or other data. So if a DNS points to IPv6, we'll also include it. But it's just too big to scan for now. Okay, thank you. So if you want our scans, you want to be safe, don't use IPv6. No, just the job. Do use IPv6. It's time that we start using this thing that's been around for years. Yes. Do we have another question on the back? Yes. First of all, thanks for all your good work. I think the IPvD helps a lot of people. But my question is, I see on the internet because of the privacy regulations that email addresses and these contact details get most of the time redacted. How are you even able to find the email addresses to the companies where that IP address or the domain name belongs after that is redacted? Or does it make your work harder? Yeah, so the internet, unlike camp, has very poor signage. You can wander around and never know whose village you're in or which camp you're stumbling in and there's not always helpful hints there. Those companies that keep their who-is-database up-to-date with their abuse address, thank you very much, that really helps. Security TXT is going to help, especially the DNS version is going to help us a lot because we don't just want to see your website, we want to use DNS to do a reverse lookup en get security information there. Sometimes it's guessing. There's countries where, so enough, if you look at the AFNIC database, there's a lot of IP addresses that just have a telephone number for abuse. Yeah, I don't have the time to call all African ISPs. Yeah, so please keep your who-is-database up-to-date. Please put a security text in. That really, really helps us. Thank you for the presentation. You were in the news a couple of days back regarding the solar panel stuff, right? Yes, correct. Oh, yesterday, great. And that, yeah, it's of course very scary stuff and many thanks for all the hard work in that. My question is, are you any plans for other converters to check? Which ones do you have? I have three good weeks. So obviously this topic has our attention. On the other hand, we're limited by the amount of time we have. We are doing competitor research. We're not after certain vendors. SolarMan just happened to be the unlucky one that we found first. And yeah, I guess the state of IoT security would be another talk on itself. Thanks. Frank already did. So if people are viewing at home, I think what is this about? Look at the internet outage technology, you called it, right? Internet outage technology. Internet outage technology and it was, well, we discovered a management panel for many converters and, yeah, it needed to be closed off because, well, you can do nasty stuff with that. So if you want to watch back that talk, it's available now. You already gave an plan on expanding, on going abroad and distributing DFAD to other countries. If we speak again in five years, what things would you like to see that happened or where you stand then? I think that's a question we all might answer. Shall I kick off? In five years, we have grown from 100 to several hundred researchers to do all the work we need to do. So each high-high is being scanned in a sufficient manner and also reported to the whole world. So we need more researchers, more C-certs of people to do that. Also that it is still a voluntary organization but, yeah, that these people are committed to stay with us. Three is that each country in the world has its own chapter and forwarding our findings too. We're already building in the Netherlands our own network of trusted information sharing partners who put our notifications to their constituencies. So like through internet service providers, we had C-certs for healthcare. We have DTC for small-medium enterprise. We have the National Cyber Security Center for the government. That model might be exported to other countries helping about. So it's not only our effort, but other countries are helping too. And I hope that in five years we still exist and that we didn't have a court case which bankrupted us. So those are my four visions for the coming five years. Astrid, what is your vision for the coming five years for Diavidi? En also, of course, the academy. Well, my vision is we will grow at the same point you gave but also that everybody will recognize us and know we are the good guys and girls and people. We are the good people, I must say. For the academy I really want to be a real school where kids can be happy if you put a fish and a monkey in front of a tree and you say to the fish, climb the tree, then you know it will never happen. But the fish has also very good skills. So that's what we want to do with our kids, our youngsters, to tell them they're good enough for this world. They are fucking smart. We're going to teach them to use their skills in an ethical way and we're going to make sure they become our new generation of pentesters. That is my dream, that is Victor's dream, I know. We also want to make sure that people who are sitting at home at the moment don't get a job because they have different skills. We want to make sure they get the jobs they love, they need. And we need them, so that's my vision for the future. It's more about people and we're going to make sure that we hack our way into the next generation because somebody has to do it, so we will do this. In 5 jaar, dan zijn er mensen die met mij zijn en je bent de directeur van de IVD. Waar stond de IVD in 5 jaar? Ik was in 5 jaar gegaan, ik hoop dat je minder maandaging en meer handels haken, maar bedankt voor dat. Ik denk dat in 5 jaar, ik hoop dat we een globale reach hebben en een betere manier van potentiële victoren. Nu de aandacht is dat we een aantal ISPs aanwezig zijn om onze mensage te worden. En sommigen doen het, en sommigen refuseen erop te werken. Dat is een schijn, want het betekent dat we niet veel mensen zijn. Dus ik hoop dat we een oplossing kunnen vinden voor dat probleem. Dus als crisismanager, ik hoop voor het beste. Ik heb een bovenjob. Ik hoop voor het beste en ik hoop dat in 5 jaar we hier gaan staan en zeggen dat de IVD geïnteresseerd is om de academie te veranderen. Want we hebben zoveel cases in de laatste 5 jaar gegaan. Of in de laatste jaar. Ik denk dat we veel mogelijk hebben om dat te maken. Het is op de internet beter. Right now scanning is a batch process, dus we scanen, er is een aantal verrevingen. De mensage read late en dan ze gaan naar je ISP of je collo-provider of je netwerk-provider die je collo-provider geeft die hun vrouw of een andere vrouw is. En dan kan de mensage er nooit mee krijgen. En ik hoop dat we in de Netherlands een infrastructuur kunnen bouwen om automatisch deze dingen er in minuten van ons te detecteren dat er iets veranderd is. En ik hoop dat we die infrastructuur veranderd zodat mensen echt beeld zijn dat ze een probleem hebben. Echt, echt, eerst. Dus dat we meer cases kunnen doen, meer mensen te reachen en misschien even op het einde op de IPv6 te veranderen. Ik heb de laatste vraag gehad. Dit lijkt me heel erg aan de laber van liefde en dat je in het groen hebt en passieerd over wat je doet. Doe je voel je je veranderd aan je fundering en de veranderdheid aan je voordeur? Nou, ik wil het niet omhoog. At the FED, veel researchers zijn al dit werk doen. En bij ons, het is een grote relief om andere mensen te doen in dezelfde. En je helpt elkaar uit. Dus de FED is niet alleen een environment waar we de internet zo maken, maar ook het proeven zelf door elkaar te learnen. Maar ja, de veranderdheid is moeilijk. We hebben wel wat funderingen, bothen van de regio, de veranderdheid, om een klein payment voor een veranderdheid maar ook voor alle expensive IT-veranderen die we nodig hebben. Maar dan weer, en elke keer we proberen een nieuw servo of een licentier te doen, oh, hier is de FED, hier is het voor drie, go. Maar de onderdeel is dat als we geen geld hebben, dan gaan we het nog steeds doen. Dus ja, ik ben veilig voor de veranderdheid. Dat is, we mogen in een moeilijk geval met het zolderman en het kan in een gevaarlijke keuze turneren. Ik hoop niet, want ik hoop dat mensen zien dat het nodig is wat we doen. Nog een andere vraag op de veranderdheid? Nou, ik denk dat het veranderdheid is voor mij. Ik denk dat als je iets doet, dan geloof je echt in ons. Je kunt voor een while gaan doen. Ik werk voor de FED, maar het voelt niet als werk. Het voelt als ik ik ben die ik ben. En dat is voor mij de belangrijkste deel van wat ik doe. Ja, ik geloof met Frank hier. En zoals Chris zei ook, veel van ons hebben een veranderdheid van een veranderdheid en we zouden nog steeds het doen zonder de FED of... Dus als de FED veranderdheid veranderd is, dan gaan we gewoon verder doen wat we doen en blijven we de FED doen, want we starten zonder de veranderdheid ook. Het maakt je werk veel wierder. Dank je wel, Chris, Astrid, Frank... Sorry, nee, ik heb mijn pronunciëertjes gelaten. Dank je wel, bedankt.