Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 58, views: 25.808 •

Het Nationaal Bureau Verbindingsbeveiliging, een onderdeel van de AIVD, heeft een aangepaste versie van het opensource-softwarepakket OpenVPN goedgekeurd voor gebruik bij de Nederlandse overheid op 'Departementaal Vertrouwelijk'-niveau.

Met de goedkeuring van het OpenVPN-pakket door het AIVD-orgaan stapt de Nederlandse overheid voor het eerst over naar een opensource-pakket voor beveiligingsdoeleinden. Het OpenVPN-pakket kan daarmee voortaan gebruikt worden door overheidsmedewerkers die vanuit huis of een andere locatie toegang moeten krijgen tot vertrouwelijke informatie. Eerder werd de software ingezet in een pilot bij het Ministerie van Defensie.

Voordat het OpenVPN de goedkeuring van het Nationaal Bureau Verbindingsbeveiliging kreeg, werd het opensourcepakket aangepast. Beveiligingsbedrijf Fox-IT nam hierin het voortouw en verwijderde componenten die onveilig kunnen zijn uit de software. Ook werden aanpassingen gedaan. Zo werd PolarSSL in plaats van OpenSSL ingezet om data te versleutelen en kunnen essentiële beveiligingsinstellingen niet uitgeschakeld worden. Fox-IT wijzigde zo'n achtduizend regels code en voegde vierduizend regels documentatie aan de nieuwe OpenVPN-NL toe.

Deze door de overheid goedgekeurde versie is via de website van Fox-IT te downloaden voor verschillende platforms, terwijl vanzelfsprekend ook de broncode van de software beschikbaar is. Omwille van de veiligheid zal de aangepaste OpenVPN-software alleen via dit beveiligde distributiekanaal verkrijgbaar zijn.

Reacties (58)

Zegt Fox-IT met andere woorden dat OpenSSL onveilig is? Volgens mij is door het commercieel gebruik PolarSSL al niet meer opensource.
Volgens de website van OpenVPN-NL hebben ze dat gedaan omdat PolarSSL beter te controleren is dan OpenSSL:
Among the notable differences between OpenVPN and OpenVPN-NL is the cryptographic library. Correct SSL functionality is essential for the protection that OpenVPN offers. OpenSSL is a large and complex library. PolarSSL is a compact and modular library, which is small enough for a fairly in-depth evaluation. Therefore, in the OpenVPN-NL package, it has been chosen to exchange PolarSSL for OpenSSL. This change does not change functionality; the two libraries (OpenSSL and PolarSSL) are mutually compatible.
Grappig hoe ze de exchange verkeerd om genoemd hebben :P ze exchangden juist OpenSSL voor PolarSSL...
PolarSSL is wel open source?
The PolarSSL library is distributed under the GNU Public License Version 2.0 (GPL v2.0) and any later version of this License.
(bron)
Van de website:
Among the notable differences between OpenVPN and OpenVPN-NL is the cryptographic library. Correct SSL functionality is essential for the protection that OpenVPN offers. OpenSSL is a large and complex library. PolarSSL is a compact and modular library, which is small enough for a fairly in-depth evaluation. Therefore, in the OpenVPN-NL package, it has been chosen to exchange PolarSSL for OpenSSL.
Ze zeggen dus niet dat OpenSSL niet veilig is, ze geven alleen aan dat het te groot en complex is om dat te onderzoeken.

[Reactie gewijzigd door IceM op 22 november 2011 15:22]

OpenSSL is inderdaad een draak van een applicatie. Naast complexiteit lijkt me de omvang van de code me ook wel hele goede reden om dat te mijden, hoe meer regels code des te groter is de kans dat er bugs/exploits in zitten.
Aan de andere kant, is OpenSSL wel ENORM veel gebruikt vast ook wel door andere overheden en misschien wel zelfs die van de USA?

PolarSSL is makkelijker te reviewen omdat het kleiner is, dat is zo, maar het is ook weer niet zo dat ze ALLE bugs nu uit polarSSL hebben verwijderd.

Wat ik me dan afvraag, wat nou als je, als geauthoriseerd persoon, van thuis uit wil verbinden met de 'normale' openvpn? Is dat bewust 'gesloopt'? Polar- of Open-SSL maakt voor het certificaten gedeelte en zo niet uit. De app zou het verschil niet eens 'merken', dus kan het zo zijn dat enkel deze specifieke versie met hun specifieke versie werkt?

Het is op en top hulde hoor, daar niet van; maar maakt het 'out of the box' gevoel voor openvpn weer niet werkend. Nou kan je wel zelf packages bakken/source compilen, maar b.v. in ubuntu 'ff' networkmanager-openvpn installeren, je certificaten toevoegen en 'klaar'.
Nee, ze zeggen dat ze OppenSSL hebben gekozen ipv PolasSSL ;-)
Even goed lezen dan zie je het ook.
Het heeft vast iets te maken met een oud-medewerker. PolarSSL is namelijk gemaakt door het bedrijf Offspark, wat eigenlijk alleen 1 persoon betreft:
Founder Paul Bakker started a company in 2009 that evolved into the Offspark that is here today. At the moment Offspark is still small, having just Paul as a full-time employee. Offspark works together with a number of first-class partners and freelancers to provide a complete portfolio to its clients.

From 2002 to 2011 Paul had a full-time employment with the leading Dutch security company Fox-IT. Paul Bakker led the Crypto & High Security department of Fox-IT for over 5 years, where as an active management member he was involved in military, government and general classified projects. In addition he was an active member in the development of numerous high-security products and solutions for the national security arena, including NATO and EU environments.
Omdat Fox-IT de broncode distribueert valt het overigens wel gewoon onder de GPL-v2 licentie van PolarSSL, hoewel het me niet zou verbazen als er wel voor betaald is.

[Reactie gewijzigd door tweakerbee op 22 november 2011 15:23]

Persoonlijk zou ik het logisch en goed vinden mochten ze er toch iets voor betaald hebben. Een tool als openvpn en bijhorende openssl//PolarSSL from scratch bouwen zou veel meer kosten. Door terug te geven aan een project als dit kunnen ze ook weer verder ontwikkelen.
Teruggeven doe je niet enkel in geld maar ook in eigen bijdrages aan het product. Op de site van Fox-IT valt ook te lezen dat ze zelf veel toevoegingen hebben gedaan aan de code van OpenVPN.
Open source betekend NIET dat het ook gratis moet zijn.
Hmm ik ken het niet maar als ik op de site kijk van polarSSL
"The PolarSSL library is distributed under the GNU Public License Version 2.0 (GPL v2.0) and any later version of this License. This is a copyleft licensing model. The Open Source License is meant for:

Integrating PolarSSL in other Open Source projects
Personal and educational use of PolarSSL
Integration of PolarSSL in commercial software, while adhering to the Open Source license terms and choosing not to support PolarSSL"
http://polarssl.org/licensing

Bij ons in Vlaanderen kunnen ze er nog iets van leren inzake het kijken naar Open Source software bij de overheid.

Blijkbaar is die fox-it een Nederlands bedrijf (en zelf al is het een Europees bedrijf dan is het nog nie mis) en er is niets verkeerd met lokale bedrijven zo ook eens iets te gunnen ipv die typische grote buitenlandse bedrijven.

Door voor open source te kiezen geef je ook lokale bedrijven de mogelijkheid om mee te dingen naar contracten.

[Reactie gewijzigd door simplicidad op 22 november 2011 15:28]

Zo devalueer je Fox-IT wel behoorlijk. Het is welliswaar een Nederlands bedrijf maar hoeft echt niet onder te doen voor de concurrenten en is zeker niet enkel een lokaal bedrijfje. Fox-IT is een van de grote spelers op deze markt, zoals jij het stelt lijkt het alsof Fox-IT de arme underdog is die door de overheid gesteund moet worden.
foxit is volgens mij best een redelijk bekend bedrijf in nl wat betreft secuirity en werkt al redelijk vaak in opdracht van de overheid, het is dan ook niet vreemd dat juist zei nu deze openvpn 'fork' hebben gebouwd.

zo zie je de voordelen van opensource eens van een andere kant, als overheid zie je een goed stuk software, je huurt een professional in om het naar jouw eisen aan te passen en publiceerd de code, en gaat aan de slag met je nieuwe product.

gaat foxit falliet no problemo het is opensource elke ontwikkelaar kan de taak overnemen.
worden er bugs gevonden, geen probleem, je stuurt een patch naar de ontwikkelaar, er volgen wat code-revieuws en bij de volgende iteratie gaat je patch gewoon mee... het is opensource...
PolarSSL is slechts beperkt opensource. Zodra je er een closed-source applicatie aan linkt, moet je betalen. Niet zo'n handige keuze dus.
Niet echt een probleem als je er geen closed source applicatie aan linkt. En Open VPN is open source.

Hoewel ik geen fan ben van dual licensing hoeft het, zoals bv mysql bewijst, het gebruik in Open Source projecten niet tegen te houden.
Ho ho, kan zijn dat je moet betalen bij bepaald gebruik van Open Source (hangt van de licentie af) maar het blijft Open Source. Open Source <> onbetaald.
Omgekeerd: Closed Source <> betaald.

De vorm van de source zegt niets over de kosten om het te mogen gebruiken.

[Reactie gewijzigd door Jol65 op 22 november 2011 22:21]

Hint: dual licensing.

Als jij een commercieel product maakt waar PolarSSL in zit (of is meegelinkt als losse library), dan moet je betalen.

You should think of 'free' as in 'free speech', not as in 'free beer'
Niet alleen past Fox een pakket aan om te voldoen aan de eisen, dus in hoeverre is dit nog opensource? Maar Fox komt wel erg veel naar voren bij overheid projecten op dit moment. Dit wekt de schijn dat de overheid zich weer teveel laat leiden door 1 commerciele partij en zelf de kennis niet in huis heeft.
Als ze wel de kennis in huis hebben zullen ze alsnog taken moeten outsourcen omdat ze het op het moment veel te druk hebben.
Er zijn weet ik veel regeringswebsites uit de lucht gehaald en die zullen voor een groot gedeelte weer terug moeten.
Er zijn weinig bedrijven in Nederland die kunnen concurreren met Fox IT op dit niveau. Daarnaast is het verstandiger een betrouwbare partner te hebben voor zulk soort zaken dan telkens via een Europese aanbesteding een andere partner te zoeken. Met zaken zoals catering kan je dat prima doen, met beveiliging van staatsgeheimen is dat toch minder aan te raden.
Daarnaast is het voor de overheid niet te doen om zelf mensen op te leiden tot het niveau van de medewerkers van Fox IT, dan heb je veel dure mensen in huis die je niet full time kan inzetten omdat er niet genoeg projecten zijn, dan is uitbesteding vaak een stuk handiger. Dan heb je gegarandeerd top mensen die altijd up-to-date zijn qua kennis en veel meer toevoegen onder andere door relevante ervaring met andere projecten of ervaring in het veld.
Het beste zou zijn als alle ICT projecten van de overheid (en dan dus echt ALLE!) ondergebracht worden bij 1 bedrijf wat exclusief levert aan de overheid, maar wel markt comforme salarissen kan betalen. De enorme besparingen die dat op zou leveren, is meer dan voldoende om iedereen van een zeer riant salaris te voorzien.
Welk bedrijf heeft van elk ICT onderwerp kennis in huis? En hoe ga je om met specifieke kennis die kortstondig nodig is? Moet bij andere bedrijven ingehuurd worden.
Er is g een enkel ICT bedrijf dat alles kan leveren en alle kennis in huis heeft.
Daarnaast is het voor de overheid niet te doen om zelf mensen op te leiden tot het niveau van de medewerkers van Fox IT, dan heb je veel dure mensen in huis die je niet full time kan inzetten omdat er niet genoeg projecten zijn
Om er nog maar van te zwijgen dat die overheidsmedewerkers vervolgens door de IT-bedrijven worden weggekocht met een nog hoger salaris, en dan kan de overheid weer opnieuw beginnen (of een staatslening uitschrijven om diezelfde functionaris weer terug te huren ;) )
Als het om security gaat dan houd de Nederlandse overheid dit soort opdrachten altijd bij een Nederlands bedrijf zonder banden met andere overheden zodat inmenging door andere mogendheden wordt beperkt. Tevens worden de medewerkers door de AIVD gescand. Ook al worden er in de overheid véél beveiligingsfouten gemaakt, op dit gebied zijn ze al vele jaren goed bezig. Dit soort dingen wil je ook niet door een Amerikaans of Duits bedrijf laten doen, de kans op mee luisteren is dan héél groot. Persoonlijk had ik verwacht dat deze opdracht bij een van de andere Nederlandse beveiligingsbedrijven was onder gebracht.
Je vraag
dus in hoeverre is dit nog opensource?
wordt beantwoord met
terwijl vanzelfsprekend ook de broncode van de software beschikbaar is
Volledig open source. Het sterke en zwakke punt van Open Source, iedereen kan het aanpassen en zolang de aangepaste code ergens beschikbaar is dan voldoet het nog aan de eisen ook. Veel vrijheid, veel versnippering.
OpenVPN is onder de GNU GPL uitgebracht, wat Fox-IT verplicht om haar wijzigingen ook te vrijgeven.
Aan de partijen die de applicatie gebruiken. Dus de overheid. Dat zal ook vast wel gebeuren aangezien ik als overheid de code ook zou willen hebben voor het geval ik ooit FOX wil vervangen. Dan wil je niet al je software ook kwijt zijn of heel duur over moeten kopen. Dus zal dat ongetwijfeld wel onderdeel zijn van de afspraken.
Het pakket is in source code van de repo van foxit te downloaden. dus het is gewoon nog steeds opensource !

https://openvpn.fox-it.com/repos/source/2.1.4-fox5/

[Reactie gewijzigd door adam76 op 22 november 2011 16:42]

ff googlen: License Polarssl maar een dual-license dus, zowel opensource als een commercial license als de opensource niet volstaat.

[Reactie gewijzigd door Speeder op 22 november 2011 15:23]

Dé overheid ? De Nederlandse overheid blijkbaar dus :)
Goed dat de overheid overgaat op opensource software en aanpassingen doet naar haar eigen wensen. Het is in mijn opinie beter dan het wiel opnieuw uitvinden.
Niet alleen dat, veel aanpassingen zijn ook terug gecommuniceerd naar de OpenVPN community toe waardoor Fox IT en indirect de Nederlandse overheid een actieve bijdrage levert bij de ontwikkeling van OpenVPN en de opensource community. Ze implementeren niet alleen andermans wiel maar verbeteren het ook waar mogelijk.
Niet alleen naar de OpenVPN community, maar ook naar PolarSSL.

Er is door Fox een hoop bijgedragen in functionaliteit en documentatie die voor PolarSSL nodig was om beter met OpenVPN te interacteren.

(Ik ben de maintainer van PolarSSL)
Ben bang dat het "werk-verschaffing" is voor Fox (als in inkomen garanderen). Waarom niet verder helpen met de ontwikkeling van openssl (wat zich al lang heeft bewezen in mijn ogen)? win-win situatie voor iedereen.
Wat aangegeven wordt op de informatiepagina is dat OpenSSL te groot en complex is om te kunnen controleren op kwetsbaarheden. PolarSSL is compacter en modulair opgebouwd. Hierdoor zijn de delen die niet gebruikt worden uit te schakelen. Hoe minder code, hoe minder kans op bugs en kwetsbaarheden.

[Reactie gewijzigd door mr_obb op 22 november 2011 16:14]

"Het OpenVPN-pakket kan daarmee voortaan gebruikt worden door overheidsmedewerkers die vanuit huis of een andere locatie toegang moeten krijgen tot vertrouwelijke informatie. Eerder werd de software ingezet in een pilot bij het Ministerie van Defensie."

Mooi dat dit open source (en goedkoper?) kan. Gaat de politie dit pakket trouwens ook gebruiken?
Misschien wel handig aangezien ze nu toch bezig zijn met ICT in de nieuwe Nationale Politie.

[Reactie gewijzigd door tweaker2010 op 22 november 2011 15:42]

Goed nieuws, mijn vraag; welk systeem gebruikten ze vroeger? Was dat closed source? Werd er voor betaald? Is deze versie (inclusief aanpassingen) nu goedkoper dan een nieuwe versie van de huidige oplossing?
Das wel netjes, dus dat betekent een grote besparing voor het ict budget van de overheid?
Ik denk denk dat dat wel meevalt: wat denk je dat het kost om een (open source) pakket helemaal door te lichten qua veiligheid en daar wijzigingen in aan te brengen?

Man-uren die betaald moeten worden maken ICT-projecten duur, niet licentiekosten.
uuh als je voor n paar duizend werkplekken per jaar allerlei pakketten moet kopen lijkt dat me best wel n kostenplaatje. En die doorlichting is natuurlijk eenmalige kosten, geen terugkerende :)
Om de broncode van Openvpn-nl beter te kunnen vergelijken met het orgineel, heb ik hier een (patch) file met de verschillen beschikbaar gesteld:

http://download.fortresslinux.org/Fortress-Linux/flaudit/


Zelf ben ik nogal sceptisch over een product van een bedrijf die regelmatig op de ISS Conference staat met Big-Brother-achtige oplossingen zoals deze:

http://www.ereleases.com/...rt-ip-analysis-tool-13128


Ik heb de verschillen in de 11000 coderegels even snel doorgenomen. Hierbij heb ik al wel code gevonden die -mogelijk- kan leiden tot een buffer-overflow/resource overstep. Maar dit moet ik eerst verder onderzoeken voordat ik het aan de grote klok hang. Verder zie ik voornamelijk wijzigingen m.b.t PolarSSL en wat Makefile functies die eruit gehaald zijn.

Misschien dat er nog meer vrijwilligers zijn op Tweakers.net die samen met mij openvpn-nl willen auditen op eventueele achterdeurtjes.
Eigenlijk zou je e.e.a. naast elkaar moet zien zoals Eclipse dat zo netjes kan tussen twee versies in CVS of subversion. Zo op het oog zie ik vooral veel extra commentaar om te vertellen wat de code doet. Zou Foxit de Linux kernel ook eens onderhanden kunnen nemen?

Op dit item kan niet meer gereageerd worden.



Populair: Gamescom 2014 Smartphones Apple Windows Sony Microsoft Games Politiek en recht Besturingssystemen Consoles

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013