The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Система защищённых коммуникаций Nomx оказалась примером хала..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Система защищённых коммуникаций Nomx оказалась примером хала..."  +/
Сообщение от opennews (ok) on 27-Апр-17, 22:55 
Исследователь Скот Хельме при поддержке издания BBC  (Scott Helme (https://github.com/ScottHelme/)) провёл (https://scotthelme.co.uk/nomx-the-worlds-most-secure-communi.../) тестирование устройства
nomx (https://www.nomx.com), позиционируемого как реализация наиболее защищённого коммуникационного протокола ("The world’s most secure communications protocol. Everything else is insecure."). На деле, nomx оказался примером наплевательского отношения к безопасности, граничащим с жульничеством.


Младшая модель nomx продаётся по цене $199, а стоимость старшей модели для крупных корпоративных сетей  доходит до 10 тысяч долларов. Первое, что вызвало удивление стала начинка устройства. В корпусе была размещена обычная плата Raspberry Pi за 35 долларов, SD-карта и пара светодиодов.


Не меньшее  удивление вызвала программная начинка (https://github.com/ScottHelme/nomx) - на устройстве загружался дистрибутив Raspbian 7 (wheezy) с сильно устаревшими версиями пакетов, например сам дистрибутив обновлён 7 мая 2015 года, nginx и Dovecot от 2012 года, PHP  от 2015 года, OpenSSL и MySQL от 2016 года. При этом в системе не был предусмотрен  механизм установки  обновлений.


Web-интерфейс открывался по HTTP, не был защищён от CSRF-атак и содержал аккаунт, позволяющий войти с правами администратора введя логин "admin@example.com" и пароль "password". Упоминаемый в рекламе безопасный коммуникационный протокол nomx оказался обычным SMTP-сервером, не использующим MX-записи в DNS, с самоподписанным сертификатом, без настройки SPF, DKIM и DMARC, и с привязкой к API регистратора доменов  GoDaddy.

Компания nomx отрицает (https://www.nomx.com/) наличие уязвимости и проблем с безопасностью, указывая, что устройства успешно прошло все тесты на безопасность и ни один пользователь не был скомпрометирован (исследователь опубликовал эксплоит (https://github.com/ScottHelme/nomx/tree/master/csrf) и подробно описал технику CSRF-атаки, которую может повторить любой желающий, как и изучить состав прошивки (https://github.com/ScottHelme/nomx)). По поводу Raspberry Pi утверждается, что к исследователю в руки попал демонстрационный, а не серийный образец.

URL: https://scotthelme.co.uk/nomx-the-worlds-most-secure-communi.../
Новость: http://www.opennet.ru/opennews/art.shtml?num=46466

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Система защищённых коммуникаций Nomx оказалась примером хала..."  +34 +/
Сообщение от commiethebeastie (ok) on 27-Апр-17, 22:55 
По моему опыту безопасники всегда являлись основным источником дыр. Создают сейфы с целлофановыми стенами. Знают кучу бесполезных слов, но абсолютно не понимают как работает "защищаемый" объект. Гнать их надо отовсюду с волчьим билетом.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "Система защищённых коммуникаций Nomx оказалась примером хала..."  +/
Сообщение от Аноним (??) on 28-Апр-17, 05:42 
Это отчасти так. Такие "безопасники" совсем бесполезны. Но эксперты занимающиеся только этим вопросом нужны, потому что разработчикам, часто, совсем не до этого, даже если они и понимают, но заняты другим.

Я так понимаю, ты имеешь в виду личностей, вроде сотрудников первого отдела, всяких "начальник службы безопасности", "сертифицированный специалист по б." - да, согласен.

Кстати, кто подскажет, есть какие-нибудь определения, по которым можно отличить одних "безопасников" от других безопасников? Например, что бы искать сотрудника на вакансию.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

24. "Система защищённых коммуникаций Nomx оказалась примером хала..."  +5 +/
Сообщение от Харли (ok) on 28-Апр-17, 07:09 
Гы. Ну зато в ОБ одного ну очень известного и принадлежащего нуоченьправославным братьЯм  системного интегратора (Москва, Рязанский проспект) на столе у тамошнего черта стоит бюстик Дзержинского. Какой хттпс еще?
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

50. "Система защищённых коммуникаций Nomx оказалась примером хала..."  +2 +/
Сообщение от YetAnotherOnanym (ok) on 28-Апр-17, 13:45 
А когда-то кактус к монитору ставили...
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

72. "Система защищённых коммуникаций Nomx оказалась примером хала..."  +7 +/
Сообщение от Аноним (??) on 28-Апр-17, 16:29 
Кактус — к монитору, от излучения; Эдмундыча — к роутеру, от хакиров.
Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

81. "Система защищённых коммуникаций Nomx оказалась примером хала..."  +1 +/
Сообщение от krijich (ok) on 29-Апр-17, 11:54 
>на столе у тамошнего черта стоит бюстик Дзержинского. Какой хттпс еще?

А как Феликс Эдмундович  влияет на хттпс? Или это твоя личная неприязнь и какое-то суждение на этой основе?

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

29. "Система защищённых коммуникаций Nomx оказалась примером хала..."  +/
Сообщение от commiethebeastie (ok) on 28-Апр-17, 09:33 
Вот этих имею в виду: "сертифицированный специалист по б.". "начальник службы безопасности" это простой начальник охраны.
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

65. "Система защищённых коммуникаций Nomx оказалась примером хала..."  +/
Сообщение от commiethebeastie (ok) on 28-Апр-17, 15:33 
>Кстати, кто подскажет, есть какие-нибудь определения, по которым можно отличить одних "безопасников" от других безопасников?

Есть, но для этого надо знать как работает предмет.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

80. "Система защищённых коммуникаций Nomx оказалась примером хала..."  +/
Сообщение от agent_007 (ok) on 29-Апр-17, 00:49 
> есть какие-нибудь определения, по которым можно отличить одних "безопасников" от других безопасников? Например, что бы искать сотрудника на вакансию.

Просто спросить как правильно защищать систему мгновенных сообщений, например. Абстрактную IM систему "телецап".

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

2. "Система защищённых коммуникаций Nomx оказалась примером хала..."  +25 +/
Сообщение от Аноним (??) on 27-Апр-17, 22:56 
Чем больше кричат в рекламе о супербезопасности продукта, тем больше вероятность, что это дырявая поделка и все деньги потратили на рекламу, а не на разработчиков.
Антивирусное ПО тому хороший пример.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

20. "Система защищённых коммуникаций Nomx оказалась примером хала..."  +5 +/
Сообщение от Аноним (??) on 28-Апр-17, 05:43 

> Telegram тому хороший пример.

fixed


Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

21. "Система защищённых коммуникаций Nomx оказалась примером хала..."  –1 +/
Сообщение от Аноним (??) on 28-Апр-17, 06:22 
что вас в Telegram  то не устроили? Централизация?
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

83. "Система защищённых коммуникаций Nomx оказалась примером хала..."  +3 +/
Сообщение от Аноним (??) on 29-Апр-17, 13:45 
Удаление ветки заставляет задуматься...
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

3. "Система защищённых коммуникаций Nomx оказалась примером хала..."  +21 +/
Сообщение от Аноним (??) on 27-Апр-17, 23:00 
У ей внутре неонка.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Система защищённых коммуникаций Nomx оказалась примером хала..."  +5 +/
Сообщение от Аноним (??) on 27-Апр-17, 23:02 
> По поводу Raspberry Pi утверждается, что к исследователю в руки попал демонстрационный, а не серийный образец.

Ещё бы, Raspberry Pi за $35 дорого и не потянет по производительности, поэтому в серию поставили китайский Orange Pi PC 2 за 20 долларов.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

28. "Система защищённых коммуникаций Nomx оказалась примером хала..."  –2 +/
Сообщение от Аноним (??) on 28-Апр-17, 09:16 
> Ещё бы, Raspberry Pi за $35 дорого и не потянет по производительности,
> поэтому в серию поставили китайский Orange Pi PC 2 за 20
> долларов.

которая ВНЕЗАПНО еще медленней

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

32. "Система защищённых коммуникаций Nomx оказалась примером хала..."  +/
Сообщение от ak (??) on 28-Апр-17, 10:14 
сказочник
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

34. "Система защищённых коммуникаций Nomx оказалась примером хала..."  +/
Сообщение от кэп on 28-Апр-17, 10:18 
С какого перепугу оно медленней? Оно заметно шустрее, особенно сетевуха.
Единственная проблема с оранджами - борьба с перегревом. Лечится радиатором побольше и термоклеем получше.
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

40. "Система защищённых коммуникаций Nomx оказалась примером хала..."  +/
Сообщение от ak (??) on 28-Апр-17, 10:51 
> С какого перепугу оно медленней? Оно заметно шустрее, особенно сетевуха.
> Единственная проблема с оранджами - борьба с перегревом. Лечится радиатором побольше и
> термоклеем получше.

не единственная
некоторые питают плату маломощными адаптерами. результат непредсказуем.

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

5. "Система защищённых коммуникаций Nomx оказалась примером хала..."  +4 +/
Сообщение от Sabakwaka (ok) on 27-Апр-17, 23:11 
>> По моему опыту безопасники всегда являлись основным источником дыр...

nomx — не безопасники, а болгены.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Система защищённых коммуникаций Nomx оказалась примером хала..."  +3 +/
Сообщение от Аноним (??) on 27-Апр-17, 23:17 
Про создателя nomx написано "W.L. Donaldson is a cybersecurity expert...", но в списке регалий  "Mr. Donaldson served as the first USMC Webmaster at the Pentagon". это PHP, правку конфигов от рута и все детские дыры поясняет. Типа, если вёбмастер в пентагоне, то эксперт по безопасности.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Система защищённых коммуникаций Nomx оказалась примером хала..."  –6 +/
Сообщение от Аноним (??) on 27-Апр-17, 23:53 
А теперь вопрос кого будут слушать, анонимуса или компанию с банковскими счетами и рекламой.
Подобных разоблачений был миллион, что бизнесу многих компаний не сильно помешало.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

37. "Система защищённых коммуникаций Nomx оказалась примером хала..."  +1 +/
Сообщение от Аноним (??) on 28-Апр-17, 10:28 
> А теперь вопрос кого будут слушать, анонимуса или компанию с банковскими счетами
> и рекламой.
> Подобных разоблачений был миллион, что бизнесу многих компаний не сильно помешало.

имеющий уши да услышит...
откровения Сноудена тоже не сильно как-то людей вразумили

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

45. "Система защищённых коммуникаций Nomx оказалась примером хала..."  +/
Сообщение от Аноним (??) on 28-Апр-17, 12:46 
> анонимуса

Это нас, анонимусов, слушать не будут. А Скотт, хоть шарашкина контора и называет его "блогером", довольно известный чувак.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

53. "Система защищённых коммуникаций Nomx оказалась примером хала..."  +/
Сообщение от YetAnotherOnanym (ok) on 28-Апр-17, 13:57 
> А теперь вопрос кого будут слушать, анонимуса или компанию с банковскими счетами
> и рекламой.

Во-первых, таки не анонимус, а во-вторых, за спиной мистера Хельме стоит Британская Вещательная корпорация. Отставной уёб-кодер Пентагона против BBC - ну-ка, кто кого?.


Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

8. "Система защищённых коммуникаций Nomx оказалась примером хала..."  +/
Сообщение от Аноним (??) on 27-Апр-17, 23:55 
Из статьи непонятно, что же делает это уберустройство.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Система защищённых коммуникаций Nomx оказалась примером хала..."  +26 +/
Сообщение от Аноним (??) on 28-Апр-17, 00:19 
оно делает их богаче.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

74. "Система защищённых коммуникаций Nomx оказалась примером хала..."  –1 +/
Сообщение от Sabakwaka (ok) on 28-Апр-17, 16:55 
>> что же делает это уберустройство

Это SMTP сервер, сконфигурированный без DNS и без MX записей.

Все данные статически прописаны у GoDaddy, у которого закуплены статические DNS и MX записи и IP на всю выпущенную серию устройств.

Типа, втыкаешь медь, регистратор сам, втайне от остального мира, тебя маршрутизирует.

Т.е. мир, с точки зрения nomx — это твой домашний рутер, твоя виртуальная домашняя сеть over WAN.

И поскольку никто про тебя ничего не знает — должно выходить неуязвимо.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

78. "Система защищённых коммуникаций Nomx оказалась примером хала..."  –1 +/
Сообщение от Аноним (??) on 28-Апр-17, 18:21 
> Все данные статически прописаны у GoDaddy, у которого закуплены статические DNS и MX записи и IP на всю выпущенную серию устройств.

Невнимательно читал. Во-первых, API GoDaddy используется в качестве замены DDNS, а никаких статических IP нет; во-вторых, MX записей тоже нет, потому что API GoDaddy не даёт их создавать; в-третьих, домен и доступ к API для руления A-записью оплачивает сам клиент.

> И поскольку никто про тебя ничего не знает — должно выходить неуязвимо.

Они тебе за рекламу забашляли, что ли?

Ответить | Правка | ^ к родителю #74 | Наверх | Cообщить модератору

86. "Система защищённых коммуникаций Nomx оказалась примером хала..."  –2 +/
Сообщение от Sabakwaka (ok) on 29-Апр-17, 18:46 
>> API GoDaddy используется в качестве замены DDNS, а никаких статических IP нет

Да ну?

>>> MX записей тоже нет, потому что API GoDaddy не даёт их создавать

Да ну??? :) :) :)

>> доступ к API для руления A-записью оплачивает сам клиент.

Понял, ты пользователь nomx, у тебя восемь боксов, тебя не обманешь.

>> Они тебе за рекламу забашляли, что ли?

За разоблачение.

Ответить | Правка | ^ к родителю #78 | Наверх | Cообщить модератору

87. "Система защищённых коммуникаций Nomx оказалась примером хала..."  +2 +/
Сообщение от Аноним (??) on 29-Апр-17, 23:01 
Чего разданукался? Пойди по ссылкам и почитай. А если инглиш не понимаешь, то хотя бы не пытайся умничать.
Ответить | Правка | ^ к родителю #86 | Наверх | Cообщить модератору

9. "Система защищённых коммуникаций Nomx оказалась примером хала..."  +1 +/
Сообщение от Noteme on 28-Апр-17, 00:12 
Ничего удивительного. У нас делают точно также. В буклетах и на сайте чего только не понаписано, а внутри - софт мало того что дырявый, да еще и ворованный.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Система защищённых коммуникаций Nomx оказалась примером хала..."  +7 +/
Сообщение от Crazy Alex (ok) on 28-Апр-17, 00:44 
Ну, мошенников везде хватает. Но какова наглость... Аж завидно слегка, я б так не рискнул
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

12. "Система защищённых коммуникаций Nomx оказалась примером хала..."  +1 +/
Сообщение от Аноним84701 (ok) on 28-Апр-17, 01:04 
> Ну, мошенников везде хватает. Но какова наглость... Аж завидно слегка, я б так не рискнул

Помню, лет десять назад шустро впаривали "шифровальные адаптеры" для хардов.
В рекламе гордо упоминали "aes128 encryption".

А на самом деле тупо (const_key[64] XOR data[64]) для каждого блока.
https://web.archive.org/web/20090810082343/http://www.h-onli...

> These regular repetitions continued, and the almost identical columns of numbers
> suggest that the 512-byte sectors of your drive are not in fact encrypted with AES,
> but merely with a constant 512-byte cipher block applied as an XOR (exclusive OR)

Когда прижали, оказалось:
>  the manufacturer of the IM7206 controller chip used, confirming our findings.
> The IM7206 merely uses AES encryption when saving the RFID chip's ID in the controller's flash memory.

"уникальный" проприетарный алгоритм:
> The company explained that actual data encryption is based on a proprietary algorithm

и вообще "все божья роса":
> For the time being, the company says it will continue to market the current module as providing "simple encryption."

ЗЫ: мини-новость на опеннете:
https://www.opennet.ru/opennews/art.shtml?num=14309

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

43. "Система защищённых коммуникаций Nomx оказалась примером хала..."  +5 +/
Сообщение от тоже Аноним email(ok) on 28-Апр-17, 12:13 
Вот неправда ваша. У нас так не делают. У нас делают программно-аппаратный комплекс, в котором общаться с вот такой коробочкой может только программа на распоследнем дотНете, требующая под собой MSSQL для хранения этой важной переписки.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

13. "Система защищённых коммуникаций Nomx оказалась примером хала..."  –6 +/
Сообщение от all_glory_to_the_hypnotoad (ok) on 28-Апр-17, 01:12 
> PHP от 2015 года, ... MySQL от 2016 года.

Какая разнрица от какого они года, эта смесь дерьма в принципе не может иметь ничего общего с безопасностью.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Система защищённых коммуникаций Nomx оказалась примером хала..."  –4 +/
Сообщение от Ilya Indigo (ok) on 28-Апр-17, 02:11 
Обоснуйте Ваш выс... казывание!
А также напомните, какие за 2 года уязвимости, связанные с безопасностью были обнаружены в PHP?
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

16. "Система защищённых коммуникаций Nomx оказалась примером хала..."  +2 +/
Сообщение от Аноним (??) on 28-Апр-17, 03:03 
Из недавнего
http://blog.checkpoint.com/2016/12/27/check-point-discovers-.../
За два года можно еще больше наскребать.

PHP это не erlang. PHP место на сырных заводах.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

23. "Система защищённых коммуникаций Nomx оказалась примером хала..."  +/
Сообщение от A.Stahl (ok) on 28-Апр-17, 07:07 
>PHP это не erlang.

А в Форте секьюрити дыр не находили уже лет 20. Да на том же РНР в месяц пишется больше, чем было написано на Эрланге за всё время его существования.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

25. "Система защищённых коммуникаций Nomx оказалась примером хала..."  +/
Сообщение от Харли (ok) on 28-Апр-17, 07:19 
Тут дело то не в собственно кривости гаечного ключа, а в генетической бестолковости механиков, продолжающих, как те мыши жрать кактус, этот ключ использовать. В СССР кирзовых сапог тоже выпускалось на порядки больше чем нормальной обуви, а толку то?
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

27. "Система защищённых коммуникаций Nomx оказалась примером хала..."  +1 +/
Сообщение от anomymous on 28-Апр-17, 07:58 
Хипстеры, эксклюзивность, Nomx, вот это всё.
А на "ключе" просто пишут.
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

38. "Система защищённых коммуникаций Nomx оказалась примером хала..."  +/
Сообщение от Аноним (??) on 28-Апр-17, 10:29 
> Тут дело то не в собственно кривости гаечного ключа, а в генетической
> бестолковости механиков, продолжающих, как те мыши жрать кактус, этот ключ использовать.
> В СССР кирзовых сапог тоже выпускалось на порядки больше чем нормальной
> обуви, а толку то?

а толк в том, что обуви на всех хватало...

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

42. "Система защищённых коммуникаций Nomx оказалась примером хала..."  –2 +/
Сообщение от Харли (ok) on 28-Апр-17, 11:44 
не обуви, а гуана. собственно о чем и речь
Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

47. "Система защищённых коммуникаций Nomx оказалась примером хала..."  +/
Сообщение от Аноним (??) on 28-Апр-17, 13:00 
> не обуви, а гуана. собственно о чем и речь

Посмотрел бы я на мусью в туфельках после дождичка за городом.


Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

63. "Система защищённых коммуникаций Nomx оказалась примером хала..."  +/
Сообщение от Crazy Alex (ok) on 28-Апр-17, 15:23 
Суть не в том. А в том, что хорошие туфельки купить проблематично было даже если было куда надевать. Впрочем, тезис "PHP - чтобы писать повседневный код, делающий то, что нужно клиенту" полностью поддерживаю, просто с кирзачами сравнение неудачное.

P.S. Никогда не забуду, как в Приэльбрусьи местные барышни по местным же тропкам (не ровным ни разу) на каблуках скакали.

Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

69. "Система защищённых коммуникаций Nomx оказалась примером хала..."  –2 +/
Сообщение от Аноним (??) on 28-Апр-17, 15:44 
в Приэльбрусьи?


Ответить | Правка | ^ к родителю #63 | Наверх | Cообщить модератору

61. "Система защищённых коммуникаций Nomx оказалась примером хала..."  +/
Сообщение от Аноним (??) on 28-Апр-17, 15:18 
> на том же РНР в месяц пишется больше, чем было написано на Эрланге за всё время его существования

Что это говорит о качествах языка?

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

54. "Система защищённых коммуникаций Nomx оказалась примером хала..."  +/
Сообщение от YetAnotherOnanym (ok) on 28-Апр-17, 14:15 
> Обоснуйте Ваш выс... казывание!
> А также напомните, какие за 2 года уязвимости, связанные с безопасностью были
> обнаружены в PHP?

Выберите сами, какие Вам больше по вкусу:
http://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=php
https://nvd.nist.gov/vuln/search/results?adv_search=false&fo...

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

85. "Система защищённых коммуникаций Nomx оказалась примером хала..."  –1 +/
Сообщение от Аноним (??) on 29-Апр-17, 16:52 
Вы сами-то по своим ссылкам  читали? Где там уязвимости _языка_?
Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

84. "Система защищённых коммуникаций Nomx оказалась примером хала..."  +2 +/
Сообщение от all_glory_to_the_hypnotoad (ok) on 29-Апр-17, 16:49 
нифгасе ты нaдрoчил минусов.

> А также напомните, какие за 2 года уязвимости, связанные с безопасностью были обнаружены в PHP?

Первая проблема пыха это слишком большое кол-во особенностей платформы и поведения различных компонент о которых нужно знать чтобы не вляпаться в проблемы. И это не удивительно, ведь пых разрабатывал идиoт по принципу ~ что вижу, то и херачу (аналогично, кстати, как и разрабатывался mysql).

А самая большая проблема пыха это куча рукозадых бездарей которые выбирают его для реализации чего-либо - гoгo притягивается к гoгну. И как следствие, практичеси весь пых софт усеян эпическими багами связанными с безопасностью.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

15. "Система защищённых коммуникаций Nomx оказалась примером хала..."  –1 +/
Сообщение от Аноним (??) on 28-Апр-17, 02:24 
Скот еще случайно набрел на postfixadmin, правда он похоже сам того не понял.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "Система защищённых коммуникаций Nomx оказалась примером хала..."  +/
Сообщение от Аноним (??) on 28-Апр-17, 03:42 
Да что же это за хрень такая?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "Система защищённых коммуникаций Nomx оказалась примером хала..."  +2 +/
Сообщение от Дог email on 28-Апр-17, 04:27 
Сейчас это называется не мошенничество, а маркетинг.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

22. "Система защищённых коммуникаций Nomx оказалась примером хала..."  +1 +/
Сообщение от Аноним (??) on 28-Апр-17, 06:27 
> Сейчас это называется не мошенничество, а маркетинг.

Оно всегда называлось маркетинг.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

31. "Система защищённых коммуникаций Nomx оказалась примером хала..."  +3 +/
Сообщение от хрю on 28-Апр-17, 09:54 
оно всегда называлось обман, а мошенничество и маркетинг это уже веяния последних нескольких десятилетий.
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

39. "Система защищённых коммуникаций Nomx оказалась примером хала..."  –2 +/
Сообщение от Аноним (??) on 28-Апр-17, 10:31 
> оно всегда называлось обман, а мошенничество и маркетинг это уже веяния последних
> нескольких десятилетий.

издержки капиталистического подхода, увы

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору
Часть нити удалена модератором

70. "Система защищённых коммуникаций Nomx оказалась примером хала..."  +1 +/
Сообщение от Аноним (??) on 28-Апр-17, 15:48 
"Единая Россия" не оглашает свои тарифы. Но понятно же, что на выборах любого уровня "излишки коммуняк" сразу же поступают в избирательные закрома ЕР.


Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

51. "Система защищённых коммуникаций Nomx оказалась примером хала..."  +2 +/
Сообщение от Аноним (??) on 28-Апр-17, 13:46 
Северная Корея - наше будущее! Но сначала переходный демократический период турецкого образца.
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

41. "Система защищённых коммуникаций Nomx оказалась примером хала..."  +2 +/
Сообщение от Аноним Аналитег on 28-Апр-17, 10:56 
Вспомнилось интервью одного из производителей шоколадок,  на вопрос стоит ли ждать повышения цен на продукцию из-за повышения цен на какао бобы, ответ был замечательный:
- Не обязательно! Есть много технологий позволяющих сохранить прежние цены. Например можно уменьшить порции.
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

57. "Система защищённых коммуникаций Nomx оказалась примером хала..."  +/
Сообщение от anonymous. on 28-Апр-17, 15:07 
Причем это практикуется давно..
Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

44. "Система защищённых коммуникаций Nomx оказалась примером хала..."  –3 +/
Сообщение от Аноним (??) on 28-Апр-17, 12:32 
Это устройство работает на свободном ПО!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

46. "Система защищённых коммуникаций Nomx оказалась примером хала..."  +/
Сообщение от ALex_hha (ok) on 28-Апр-17, 12:58 
> Компания nomx отрицает наличие уязвимости и проблем с безопасностью, указывая, что устройство успешно прошло все тесты на безопасность и ни один пользователь не был скомпрометирован

но видать умалчивают тот факт, что тесты проводились специалистами по безопасности их фирмы. Тогда понятно, почему не было найдено ни одной проблемы.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

49. "Система защищённых коммуникаций Nomx оказалась примером хала..."  +2 +/
Сообщение от Аноним (??) on 28-Апр-17, 13:25 
>Компания nomx отрицает наличие уязвимости и проблем с безопасностью, указывая, что устройство успешно прошло все тесты на безопасность и ни один пользователь не был скомпрометирован

да это же прям как казённая сертификация непотребного хлама за деньги

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

62. "Система защищённых коммуникаций Nomx оказалась примером хала..."  +2 +/
Сообщение от Аноним (??) on 28-Апр-17, 15:22 
> да это же прям как казённая сертификация непотребного хлама за деньги

...только без сертификата и денег. Зачем тратиться, если можно просто сказать, что всё секюрно?

Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

52. "Система защищённых коммуникаций Nomx оказалась примером хала..."  +2 +/
Сообщение от Аноним (??) on 28-Апр-17, 13:55 
Так у нас давно уже. https://www.rutoken.ru/images/content/rutoken_vpn_max.png только vpn обещают. Ага, с ethernet на usb шине, быстро будет работать.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

68. "Система защищённых коммуникаций Nomx оказалась примером хала..."  +/
Сообщение от Аноним (??) on 28-Апр-17, 15:37 
> Так у нас давно уже. https://www.rutoken.ru/images/content/rutoken_vpn_max.png только
> vpn обещают. Ага, с ethernet на usb шине, быстро будет работать.

Ну у этих хоть корпус нормальный.

Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

55. "Система защищённых коммуникаций Nomx оказалась примером хала..."  +/
Сообщение от ALex_hha (ok) on 28-Апр-17, 14:39 
Кстати на сайте nomx, они полностью опровергают заявление о дырявости. Факты в свою защиту особо доставляют

Security Testing of a Rooted nomx Device:

The BBC provided the nomx devices for testing to a UK-based blogger who physically disassembled and rooted one of the nomx devices. Rooting was done, in his words, by disassembling the nomx case, physically removing memory card from the Raspberry and inserting it into his PC, and then resetting the root password. That is not an action a typical user would do, nor is it routine for a nomx device

"That is not an action a typical user would do, nor is it routine for a nomx device" а как будет действовать типичный пользователь? Или под типичным пользователем они подразумевают блондинку? :facepalm:

И это заявляет человек, который на сайте написал о себе

About our founder
W.L. Donaldson is a cybersecurity expert, entrepreneur and multi-patented inventor.

Или я что то не понимаю или лыжи не едут :D

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

89. "Система защищённых коммуникаций Nomx оказалась примером хала..."  +/
Сообщение от Kuromi on 30-Июл-17, 15:27 
Первые читалки Nook (first edition) к удивлению любопытных юзеров вместо встроенного чипа памяти имели microsd слот с   карточкой. Так что копание во внутренностях и смена прошивки были как два пальца об асфальт. Более поздние юниты такой "уязвимости" не имели. Барнс и Ноблс (производители Нука) тоже не ожидали что-то кто-то разберет читалку.
Nomx ничьему опыту не учатся
Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Слёрм
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру