Website OpenSSL.org gehackt via hostingprovider
De aanvallers die dit weekend OpenSSL.org wisten te hacken en bekladden konden dit doen dankzij een aanval op de hypervisor van de hostingprovider, aldus de ontwikkelaars. OpenSSL is de opensource implementatie van de SSL- en TLS-protocollen, die voor allerlei encryptie-toepassingen worden gebruikt.
Vanwege het belang van de software en het feit dat die op veel servers is geïnstalleerd reageerde de security-gemeenschap geschrokken op de defacement. In een eerdere korte verklaring stelden de ontwikkelaars dat de broncode en aangeboden software op OpenSSL.org niet waren aangepast.
Hypervisor
Nu zijn er ook iets meer details over de aanval zelf vrijgegeven. Die vond namelijk plaats via de hypervisor van de hostingprovider en niet via een kwetsbaarheid in de configuratie van het besturingssysteem. Een hypervisor of Virtual Machine Monitor (VMM) is software voor het draaien en beheren van Virtual Machines. Veel hostingproviders gebruiken het om op één fysieke server meerdere Virtual Machines voor klanten aan te maken.
De aanvallers wisten toegang tot de hypervisor te krijgen en daardoor ook tot de Virtual Machine waar de website van OpenSSL.org op draait. Vervolgens werd de index.html pagina aangepast met de boodschap "TurkGuvenligiTurkSec Was Here @turkguvenligi + we love openssl _". De bekladding werd echter na een paar minuten opgemerkt en ongedaan gemaakt.
De ontwikkelaars melden dat er maatregelen zijn genomen om herhaling in de toekomst te voorkomen, maar laten niet weten wat die precies zijn. Wel zullen er later nog meer details over de aanval volgen. Op Twitter was er al kritiek op de door OpenSSL gekozen hostingprovider.
Zo zijn er ook bedrijven die het tegenwoordig gewoon lokaal doen. Met de huidige snelheden van 100Mbps en meer, zou dat toch moeten kunnen? Ze vergeten in ieder geval dat ze geen NSA hebben en vaak zelfs geen UPS. Back-ups worden gedaan door de beheerder die de tape heen en weer sleept van en naar huis. Tijdens zijn vakantie wordt er geen back-up gemaakt en niemand denkt na over de kwaliteit van de tape na iedere dag een uur in een hete auto.
Ik ken gelukkig ook bedrijven die wat meer zicht hebben op de belangrijkheid van een goede website en het onderhoud daarvan.
Peter
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.