The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

27.04.2017 22:29  Система защищённых коммуникаций Nomx оказалась примером халатного отношения к безопасности

Исследователь Скот Хельме при поддержке издания BBC (Scott Helme) провёл тестирование устройства nomx, позиционируемого как реализация наиболее защищённого коммуникационного протокола ("The world’s most secure communications protocol. Everything else is insecure."). На деле, nomx оказался примером наплевательского отношения к безопасности, граничащим с жульничеством.

Младшая модель nomx продаётся по цене $199, а стоимость старшей модели для крупных корпоративных сетей доходит до 10 тысяч долларов. Первое, что вызвало удивление стала начинка устройства. В корпусе была размещена обычная плата Raspberry Pi за 35 долларов, SD-карта и пара светодиодов.

Не меньшее удивление вызвала программная начинка - на устройстве загружался дистрибутив Raspbian 7 (wheezy) с сильно устаревшими версиями пакетов, например сам дистрибутив обновлён 7 мая 2015 года, nginx и Dovecot от 2012 года, PHP от 2015 года, OpenSSL и MySQL от 2016 года. При этом в системе не был предусмотрен механизм установки обновлений.

Web-интерфейс (на базе PostfixAdmin) открывался по HTTP, не был защищён от CSRF-атак и содержал аккаунт, позволяющий войти с правами администратора введя логин "admin@example.com" и пароль "password". Упоминаемый в рекламе безопасный коммуникационный протокол nomx оказался обычным SMTP-сервером, не использующим MX-записи в DNS, с самоподписанным сертификатом, без настройки SPF, DKIM и DMARC, и с привязкой к API регистратора доменов GoDaddy.

Компания nomx отрицает наличие уязвимости и проблем с безопасностью, указывая, что устройство успешно прошло все тесты на безопасность и ни один пользователь не был скомпрометирован (исследователь опубликовал эксплоит и подробно описал технику CSRF-атаки, которую может повторить любой желающий, как и изучить состав прошивки). По поводу Raspberry Pi утверждается, что к исследователю в руки попал демонстрационный, а не серийный образец.

  1. Главная ссылка к новости (https://scotthelme.co.uk/nomx-...)
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: security
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Показать все | RSS
 
  • 1.1, commiethebeastie, 22:55, 27/04/2017 [ответить] [смотреть все]    [к модератору]
  • +34 +/
    По моему опыту безопасники всегда являлись основным источником дыр. Создают сейфы с целлофановыми стенами. Знают кучу бесполезных слов, но абсолютно не понимают как работает "защищаемый" объект. Гнать их надо отовсюду с волчьим билетом.
     
     
  • 2.19, Аноним, 05:42, 28/04/2017 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]
  • +/
    Это отчасти так Такие безопасники совсем бесполезны Но эксперты занимающиеся... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.24, Харли, 07:09, 28/04/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +5 +/
    Гы Ну зато в ОБ одного ну очень известного и принадлежащего нуоченьправославным... весь текст скрыт [показать]
     
     
  • 4.50, YetAnotherOnanym, 13:45, 28/04/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • +2 +/
    А когда-то кактус к монитору ставили...
     
     
  • 5.72, Аноним, 16:29, 28/04/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • +7 +/
    Кактус — к монитору, от излучения; Эдмундыча — к роутеру, от хакиров.
     
  • 4.81, krijich, 11:54, 29/04/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    А как Феликс Эдмундович влияет на хттпс Или это твоя личная неприязнь и какое-... весь текст скрыт [показать]
     
  • 3.29, commiethebeastie, 09:33, 28/04/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Вот этих имею в виду сертифицированный специалист по б начальник службы бе... весь текст скрыт [показать]
     
  • 3.65, commiethebeastie, 15:33, 28/04/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Есть, но для этого надо знать как работает предмет ... весь текст скрыт [показать]
     
  • 3.80, agent_007, 00:49, 29/04/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Просто спросить как правильно защищать систему мгновенных сообщений, например А... весь текст скрыт [показать]
     
  • 1.2, Аноним, 22:56, 27/04/2017 [ответить] [смотреть все]    [к модератору]  
  • +25 +/
    Чем больше кричат в рекламе о супербезопасности продукта, тем больше вероятность, что это дырявая поделка и все деньги потратили на рекламу, а не на разработчиков.
    Антивирусное ПО тому хороший пример.
     
     
  • 2.20, Аноним, 05:43, 28/04/2017 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +5 +/

    > Telegram тому хороший пример.

    fixed


     
     
  • 3.21, Аноним, 06:22, 28/04/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    что вас в Telegram  то не устроили? Централизация?
     
     
  • 4.83, Аноним, 13:45, 29/04/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • +3 +/
    Удаление ветки заставляет задуматься...
     
  • 1.3, Аноним, 23:00, 27/04/2017 [ответить] [смотреть все]    [к модератору]  
  • +21 +/
    У ей внутре неонка.
     
  • 1.4, Аноним, 23:02, 27/04/2017 [ответить] [смотреть все]     [к модератору]  
  • +5 +/
    Ещё бы, Raspberry Pi за 35 дорого и не потянет по производительности, поэтому в... весь текст скрыт [показать]
     
     
  • 2.28, Аноним, 09:16, 28/04/2017 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –2 +/
    которая ВНЕЗАПНО еще медленней ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.32, ak, 10:14, 28/04/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    сказочник
     
  • 3.34, кэп, 10:18, 28/04/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    С какого перепугу оно медленней Оно заметно шустрее, особенно сетевуха Единст... весь текст скрыт [показать]
     
     
  • 4.40, ak, 10:51, 28/04/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    не единственная некоторые питают плату маломощными адаптерами результат непредс... весь текст скрыт [показать]
     
  • 1.5, Sabakwaka, 23:11, 27/04/2017 [ответить] [смотреть все]    [к модератору]  
  • +4 +/
    >> По моему опыту безопасники всегда являлись основным источником дыр...

    nomx — не безопасники, а болгены.

     
  • 1.6, Аноним, 23:17, 27/04/2017 [ответить] [смотреть все]     [к модератору]  
  • +3 +/
    Про создателя nomx написано W L Donaldson is a cybersecurity expert , но в ... весь текст скрыт [показать]
     
  • 1.7, Аноним, 23:53, 27/04/2017 [ответить] [смотреть все]     [к модератору]  
  • –6 +/
    А теперь вопрос кого будут слушать, анонимуса или компанию с банковскими счетами... весь текст скрыт [показать]
     
     
  • 2.37, Аноним, 10:28, 28/04/2017 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    имеющий уши да услышит откровения Сноудена тоже не сильно как-то людей вразум... весь текст скрыт [показать] [показать ветку]
     
  • 2.45, Аноним, 12:46, 28/04/2017 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Это нас, анонимусов, слушать не будут А Скотт, хоть шарашкина контора и называе... весь текст скрыт [показать] [показать ветку]
     
  • 2.53, YetAnotherOnanym, 13:57, 28/04/2017 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Во-первых, таки не анонимус, а во-вторых, за спиной мистера Хельме стоит Британс... весь текст скрыт [показать] [показать ветку]
     
  • 1.8, Аноним, 23:55, 27/04/2017 [ответить] [смотреть все]    [к модератору]  
  • +/
    Из статьи непонятно, что же делает это уберустройство.
     
     
  • 2.10, Аноним, 00:19, 28/04/2017 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +26 +/
    оно делает их богаче.
     
  • 2.74, Sabakwaka, 16:55, 28/04/2017 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –1 +/
    Это SMTP сервер, сконфигурированный без DNS и без MX записей Все данные статиче... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.78, Аноним, 18:21, 28/04/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Невнимательно читал Во-первых, API GoDaddy используется в качестве замены DDNS,... весь текст скрыт [показать]
     
     
  • 4.86, Sabakwaka, 18:46, 29/04/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • –2 +/
    Да ну Да ну Понял, ты пользователь nomx, у тебя восемь боксов, теб... весь текст скрыт [показать]
     
     
  • 5.87, Аноним, 23:01, 29/04/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    Чего разданукался Пойди по ссылкам и почитай А если инглиш не понимаешь, то хо... весь текст скрыт [показать]
     
  • 1.9, Noteme, 00:12, 28/04/2017 [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    Ничего удивительного. У нас делают точно также. В буклетах и на сайте чего только не понаписано, а внутри - софт мало того что дырявый, да еще и ворованный.
     
     
  • 2.11, Crazy Alex, 00:44, 28/04/2017 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +7 +/
    Ну, мошенников везде хватает. Но какова наглость... Аж завидно слегка, я б так не рискнул
     
     
  • 3.12, Аноним84701, 01:04, 28/04/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Помню, лет десять назад шустро впаривали шифровальные адаптеры для хардов В ... весь текст скрыт [показать]
     
  • 2.43, тоже Аноним, 12:13, 28/04/2017 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +5 +/
    Вот неправда ваша У нас так не делают У нас делают программно-аппаратный компл... весь текст скрыт [показать] [показать ветку]
     
  • 1.13, all_glory_to_the_hypnotoad, 01:12, 28/04/2017 [ответить] [смотреть все]     [к модератору]  
  • –6 +/
    Какая разнрица от какого они года, эта смесь дерьма в принципе не может иметь ни... весь текст скрыт [показать]
     
     
  • 2.14, Ilya Indigo, 02:11, 28/04/2017 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –4 +/
    Обоснуйте Ваш выс казывание А также напомните, какие за 2 года уязвимости, с... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.16, Аноним, 03:03, 28/04/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    Из недавнего http blog checkpoint com 2016 12 27 check-point-discovers-three-z... весь текст скрыт [показать]
     
     
  • 4.23, A.Stahl, 07:07, 28/04/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    А в Форте секьюрити дыр не находили уже лет 20 Да на том же РНР в месяц пишется... весь текст скрыт [показать]
     
     
  • 5.25, Харли, 07:19, 28/04/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Тут дело то не в собственно кривости гаечного ключа, а в генетической бестолково... весь текст скрыт [показать]
     
     
  • 6.27, anomymous, 07:58, 28/04/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    Хипстеры, эксклюзивность, Nomx, вот это всё.
    А на "ключе" просто пишут.
     
  • 6.38, Аноним, 10:29, 28/04/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    а толк в том, что обуви на всех хватало ... весь текст скрыт [показать]
     
     
  • 7.42, Харли, 11:44, 28/04/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • –2 +/
    не обуви, а гуана. собственно о чем и речь
     
     
  • 8.47, Аноним, 13:00, 28/04/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Посмотрел бы я на мусью в туфельках после дождичка за городом ... весь текст скрыт [показать]
     
     
  • 9.63, Crazy Alex, 15:23, 28/04/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Суть не в том А в том, что хорошие туфельки купить проблематично было даже если... весь текст скрыт [показать]
     
     
  • 10.69, Аноним, 15:44, 28/04/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • –2 +/
    в Приэльбрусьи?


     
  • 5.61, Аноним, 15:18, 28/04/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Что это говорит о качествах языка ... весь текст скрыт [показать]
     
  • 3.54, YetAnotherOnanym, 14:15, 28/04/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Выберите сами, какие Вам больше по вкусу http cve mitre org cgi-bin cvekey cg... весь текст скрыт [показать]
     
     
  • 4.85, Аноним, 16:52, 29/04/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    Вы сами-то по своим ссылкам  читали? Где там уязвимости _языка_?
     
  • 3.84, all_glory_to_the_hypnotoad, 16:49, 29/04/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    нифгасе ты нaдрoчил минусов Первая проблема пыха это слишком большое кол-во ос... весь текст скрыт [показать]
     
  • 1.15, Аноним, 02:24, 28/04/2017 [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    Скот еще случайно набрел на postfixadmin, правда он похоже сам того не понял.
     
  • 1.17, Аноним, 03:42, 28/04/2017 [ответить] [смотреть все]    [к модератору]  
  • +/
    Да что же это за хрень такая?
     
  • 1.18, Дог, 04:27, 28/04/2017 [ответить] [смотреть все]    [к модератору]  
  • +2 +/
    Сейчас это называется не мошенничество, а маркетинг.
     
     
  • 2.22, Аноним, 06:27, 28/04/2017 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    Оно всегда называлось маркетинг ... весь текст скрыт [показать] [показать ветку]
     
  • 2.31, хрю, 09:54, 28/04/2017 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +3 +/
    оно всегда называлось обман, а мошенничество и маркетинг это уже веяния последни... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.39, Аноним, 10:31, 28/04/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • –2 +/
    издержки капиталистического подхода, увы ... весь текст скрыт [показать]
     
     
     
     
    Часть нити удалена модератором

  • 6.70, Аноним, 15:48, 28/04/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Единая Россия не оглашает свои тарифы Но понятно же, что на выборах любого ур... весь текст скрыт [показать]
     
  • 4.51, Аноним, 13:46, 28/04/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    Северная Корея - наше будущее Но сначала переходный демократический период туре... весь текст скрыт [показать]
     
  • 3.41, Аноним Аналитег, 10:56, 28/04/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    Вспомнилось интервью одного из производителей шоколадок, на вопрос стоит ли жда... весь текст скрыт [показать]
     
     
  • 4.57, anonymous., 15:07, 28/04/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Причем это практикуется давно..
     
  • 1.44, Аноним, 12:32, 28/04/2017 [ответить] [смотреть все]    [к модератору]  
  • –3 +/
    Это устройство работает на свободном ПО!
     
  • 1.46, ALex_hha, 12:58, 28/04/2017 [ответить] [смотреть все]    [к модератору]  
  • +/
    > Компания nomx отрицает наличие уязвимости и проблем с безопасностью, указывая, что устройство успешно прошло все тесты на безопасность и ни один пользователь не был скомпрометирован

    но видать умалчивают тот факт, что тесты проводились специалистами по безопасности их фирмы. Тогда понятно, почему не было найдено ни одной проблемы.

     
  • 1.49, Аноним, 13:25, 28/04/2017 [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    да это же прям как казённая сертификация непотребного хлама за деньги... весь текст скрыт [показать]
     
     
  • 2.62, Аноним, 15:22, 28/04/2017 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +2 +/
    только без сертификата и денег Зачем тратиться, если можно просто сказать, ч... весь текст скрыт [показать] [показать ветку]
     
  • 1.52, Аноним, 13:55, 28/04/2017 [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    Так у нас давно уже https www rutoken ru images content rutoken_vpn_max png т... весь текст скрыт [показать]
     
     
  • 2.68, Аноним, 15:37, 28/04/2017 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Ну у этих хоть корпус нормальный ... весь текст скрыт [показать] [показать ветку]
     
  • 1.55, ALex_hha, 14:39, 28/04/2017 [ответить] [смотреть все]    [к модератору]  
  • +/
    Кстати на сайте nomx, они полностью опровергают заявление о дырявости. Факты в свою защиту особо доставляют

    Security Testing of a Rooted nomx Device:

    The BBC provided the nomx devices for testing to a UK-based blogger who physically disassembled and rooted one of the nomx devices. Rooting was done, in his words, by disassembling the nomx case, physically removing memory card from the Raspberry and inserting it into his PC, and then resetting the root password. That is not an action a typical user would do, nor is it routine for a nomx device

    "That is not an action a typical user would do, nor is it routine for a nomx device" а как будет действовать типичный пользователь? Или под типичным пользователем они подразумевают блондинку? :facepalm:

    И это заявляет человек, который на сайте написал о себе

    About our founder
    W.L. Donaldson is a cybersecurity expert, entrepreneur and multi-patented inventor.

    Или я что то не понимаю или лыжи не едут :D

     
     
  • 2.89, Kuromi, 15:27, 30/07/2017 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Первые читалки Nook first edition к удивлению любопытных юзеров вместо встроен... весь текст скрыт [показать] [показать ветку]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor