image

Website OpenVPN gedefaced *Update*

dinsdag 12 juni 2012, 14:44 door Redactie, 6 reacties

Aanvallers zijn erin geslaagd om de website van de populaire virtuele privénetwerk (VPN) software OpenVPN te defacen. OpenVPN, wat zowel een gratis als commerciële oplossingen aanbiedt, levert software waarmee computergebruikers een veilige tunnel naar bijvoorbeeld een bedrijfsnetwerk kunnen opzetten. De website van OpenVPN draait op een Linux-server met Apache.

Hoe de aanvallers wisten binnen te komen is onbekend. Een afbeelding van de defacement is te vinden in het archief van Zone-H. OpenVPN heeft zelf nog geen melding van de bekladding gemaakt. De software zou ook zijn goedgekeurd voor gebruik binnen de Nederlandse overheid.

Update 13 juni
OpenVPN laat via Twitter weten dat het niet de eigenaar van openvpn.com is, de website die de aanvallers wisten te defacen.

Reacties (6)
12-06-2012, 14:59 door regenpijp
Open VPN is alleen toegestaan voor het departement vertrouwelijk met de aangepaste versie van Fox IT waarin 8000 regels code zijn gewijzigd.

https://tweakers.net/nieuws/78265/overheid-stapt-over-op-opensource-vpn-pakket.html
https://openvpn.fox-it.com/
12-06-2012, 17:08 door choi
Door regenpijp: Open VPN is alleen toegestaan voor het departement vertrouwelijk met de aangepaste versie van Fox IT waarin 8000 regels code zijn gewijzigd.

https://tweakers.net/nieuws/78265/overheid-stapt-over-op-opensource-vpn-pakket.html
https://openvpn.fox-it.com/

Ja, maar wat heeft het hacken van de website van OpenVPN te maken met het feit dat de Nederlandse overheid het gebruik van OpenVPN heeft goedgekeurd? Is de software nu ook ineens niet meer veilig te gebruiken?
12-06-2012, 19:17 door regenpijp
@ choi

Heeft alleen te maken met:
De software zou ook zijn goedgekeurd voor gebruik binnen de Nederlandse overheid.
Maar aangezien ik standaard js uit heb staan kon ik zo even snel niet een quote vak te voren toveren :)

Het defacen van OpenVPN.net heeft natuurlijk niks met de veiligheid van de software te maken.
12-06-2012, 22:43 door burne101
Door regenpijp:
waarin 8000 regels code zijn gewijzigd.

Voornamelijk aanroepen van OpenSSL, die vervangen zijn door PolarSSL, en er is een hoop veranderd in commentaar, zodat de enige optie voor een VPN SHA256/AES256 is. De switch naar PolarSSL is gemaakt omdat OpenSSL nogal een bende is en 'review' daarvan jaren zou kosten. PolarSSL beperkt zich tot de bare essentials en is in een paar maanden te reviewen, wat ook (op hoofdlijnen) gedaan is.

Dus nee, geen 8000 regels gewijzigd, maar vooral 7000 regels uitgezet.

Overigens is het 'departementaal vertrouwelijk classificatie-niveau'. Dat gaat dus over informatie die binnen een afdeling moet blijven. Voor 'geheim' is OpenVPN-NL niet geschikt, en evenmin voor interdepartementaal. Het NVB heeft wel meer leuke dingen gedaan, zoals bitlocker USB-key testen, of evalueren hoe veilig Bitlocker nu eigenlijk is.

Zie https://www.aivd.nl/organisatie/eenheden/nationaal-bureau/
13-06-2012, 09:30 door Anoniem
http://twitter.com/OpenVPN/status/212640823853056002
ANNOUNCEMENT: Our website was not hacked and no data was compromised. The domain that was hacked (http://openvpn.com ) is not owned by us.

Oops...
13-06-2012, 12:19 door Anoniem
Door Anoniem: http://twitter.com/OpenVPN/status/212640823853056002
ANNOUNCEMENT: Our website was not hacked and no data was compromised. The domain that was hacked (http://openvpn.com ) is not owned by us.

Oops...
Dat klopt. Want het openvpn-project draait op openvpn.net
Daar download je ook de software/source etc.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.