Website OpenVPN gedefaced *Update*
Aanvallers zijn erin geslaagd om de website van de populaire virtuele privénetwerk (VPN) software OpenVPN te defacen. OpenVPN, wat zowel een gratis als commerciële oplossingen aanbiedt, levert software waarmee computergebruikers een veilige tunnel naar bijvoorbeeld een bedrijfsnetwerk kunnen opzetten. De website van OpenVPN draait op een Linux-server met Apache.
Hoe de aanvallers wisten binnen te komen is onbekend. Een afbeelding van de defacement is te vinden in het archief van Zone-H. OpenVPN heeft zelf nog geen melding van de bekladding gemaakt. De software zou ook zijn goedgekeurd voor gebruik binnen de Nederlandse overheid.
Update 13 juni
OpenVPN laat via Twitter weten dat het niet de eigenaar van openvpn.com is, de website die de aanvallers wisten te defacen.
https://tweakers.net/nieuws/78265/overheid-stapt-over-op-opensource-vpn-pakket.html
https://openvpn.fox-it.com/
https://tweakers.net/nieuws/78265/overheid-stapt-over-op-opensource-vpn-pakket.html
https://openvpn.fox-it.com/
Ja, maar wat heeft het hacken van de website van OpenVPN te maken met het feit dat de Nederlandse overheid het gebruik van OpenVPN heeft goedgekeurd? Is de software nu ook ineens niet meer veilig te gebruiken?
Heeft alleen te maken met:
Het defacen van OpenVPN.net heeft natuurlijk niks met de veiligheid van de software te maken.
waarin 8000 regels code zijn gewijzigd.
Voornamelijk aanroepen van OpenSSL, die vervangen zijn door PolarSSL, en er is een hoop veranderd in commentaar, zodat de enige optie voor een VPN SHA256/AES256 is. De switch naar PolarSSL is gemaakt omdat OpenSSL nogal een bende is en 'review' daarvan jaren zou kosten. PolarSSL beperkt zich tot de bare essentials en is in een paar maanden te reviewen, wat ook (op hoofdlijnen) gedaan is.
Dus nee, geen 8000 regels gewijzigd, maar vooral 7000 regels uitgezet.
Overigens is het 'departementaal vertrouwelijk classificatie-niveau'. Dat gaat dus over informatie die binnen een afdeling moet blijven. Voor 'geheim' is OpenVPN-NL niet geschikt, en evenmin voor interdepartementaal. Het NVB heeft wel meer leuke dingen gedaan, zoals bitlocker USB-key testen, of evalueren hoe veilig Bitlocker nu eigenlijk is.
Zie https://www.aivd.nl/organisatie/eenheden/nationaal-bureau/
ANNOUNCEMENT: Our website was not hacked and no data was compromised. The domain that was hacked (http://openvpn.com ) is not owned by us.
Oops...
ANNOUNCEMENT: Our website was not hacked and no data was compromised. The domain that was hacked (http://openvpn.com ) is not owned by us.
Oops...
Daar download je ook de software/source etc.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.