The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

27.04.2017 22:29  Система защищённых коммуникаций Nomx оказалась примером халатного отношения к безопасности

Исследователь Скот Хельме при поддержке издания BBC (Scott Helme) провёл тестирование устройства nomx, позиционируемого как реализация наиболее защищённого коммуникационного протокола ("The world’s most secure communications protocol. Everything else is insecure."). На деле, nomx оказался примером наплевательского отношения к безопасности, граничащим с жульничеством.

Младшая модель nomx продаётся по цене $199, а стоимость старшей модели для крупных корпоративных сетей доходит до 10 тысяч долларов. Первое, что вызвало удивление стала начинка устройства. В корпусе была размещена обычная плата Raspberry Pi за 35 долларов, SD-карта и пара светодиодов.

Не меньшее удивление вызвала программная начинка - на устройстве загружался дистрибутив Raspbian 7 (wheezy) с сильно устаревшими версиями пакетов, например сам дистрибутив обновлён 7 мая 2015 года, nginx и Dovecot от 2012 года, PHP от 2015 года, OpenSSL и MySQL от 2016 года. При этом в системе не был предусмотрен механизм установки обновлений.

Web-интерфейс (на базе PostfixAdmin) открывался по HTTP, не был защищён от CSRF-атак и содержал аккаунт, позволяющий войти с правами администратора введя логин "admin@example.com" и пароль "password". Упоминаемый в рекламе безопасный коммуникационный протокол nomx оказался обычным SMTP-сервером, не использующим MX-записи в DNS, с самоподписанным сертификатом, без настройки SPF, DKIM и DMARC, и с привязкой к API регистратора доменов GoDaddy.

Компания nomx отрицает наличие уязвимости и проблем с безопасностью, указывая, что устройство успешно прошло все тесты на безопасность и ни один пользователь не был скомпрометирован (исследователь опубликовал эксплоит и подробно описал технику CSRF-атаки, которую может повторить любой желающий, как и изучить состав прошивки). По поводу Raspberry Pi утверждается, что к исследователю в руки попал демонстрационный, а не серийный образец.

  1. Главная ссылка к новости (https://scotthelme.co.uk/nomx-...)
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: security
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, commiethebeastie, 22:55, 27/04/2017 [ответить] [смотреть все]
  • +33 +/
    По моему опыту безопасники всегда являлись основным источником дыр. Создают сейфы с целлофановыми стенами. Знают кучу бесполезных слов, но абсолютно не понимают как работает "защищаемый" объект. Гнать их надо отовсюду с волчьим билетом.
     
     
  • 2.19, Аноним, 05:42, 28/04/2017 [^] [ответить] [смотреть все] [показать ветку]
  • +/
    Это отчасти так Такие безопасники совсем бесполезны Но эксперты занимающиеся... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.24, Харли, 07:09, 28/04/2017 [^] [ответить] [смотреть все]  
  • +5 +/
    Гы Ну зато в ОБ одного ну очень известного и принадлежащего нуоченьправославным... весь текст скрыт [показать]
     
     
  • 4.50, YetAnotherOnanym, 13:45, 28/04/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    А когда-то кактус к монитору ставили...
     
     
  • 5.72, Аноним, 16:29, 28/04/2017 [^] [ответить] [смотреть все]  
  • +6 +/
    Кактус — к монитору, от излучения; Эдмундыча — к роутеру, от хакиров.
     
  • 4.81, krijich, 11:54, 29/04/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    А как Феликс Эдмундович влияет на хттпс Или это твоя личная неприязнь и какое-... весь текст скрыт [показать]
     
  • 3.29, commiethebeastie, 09:33, 28/04/2017 [^] [ответить] [смотреть все]  
  • +/
    Вот этих имею в виду сертифицированный специалист по б начальник службы бе... весь текст скрыт [показать]
     
  • 3.65, commiethebeastie, 15:33, 28/04/2017 [^] [ответить] [смотреть все]  
  • +/
    Есть, но для этого надо знать как работает предмет ... весь текст скрыт [показать]
     
  • 3.80, agent_007, 00:49, 29/04/2017 [^] [ответить] [смотреть все]  
  • +/
    Просто спросить как правильно защищать систему мгновенных сообщений, например А... весь текст скрыт [показать]
     
  • 1.2, Аноним, 22:56, 27/04/2017 [ответить] [смотреть все]  
  • +24 +/
    Чем больше кричат в рекламе о супербезопасности продукта, тем больше вероятность, что это дырявая поделка и все деньги потратили на рекламу, а не на разработчиков.
    Антивирусное ПО тому хороший пример.
     
     
  • 2.20, Аноним, 05:43, 28/04/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +5 +/

    > Telegram тому хороший пример.

    fixed


     
     
  • 3.21, Аноним, 06:22, 28/04/2017 [^] [ответить] [смотреть все]  
  • +/
    что вас в Telegram  то не устроили? Централизация?
     
     
  • 4.83, Аноним, 13:45, 29/04/2017 [^] [ответить] [смотреть все]  
  • +3 +/
    Удаление ветки заставляет задуматься...
     
  • 1.3, Аноним, 23:00, 27/04/2017 [ответить] [смотреть все]  
  • +20 +/
    У ей внутре неонка.
     
  • 1.4, Аноним, 23:02, 27/04/2017 [ответить] [смотреть все]  
  • +5 +/
    Ещё бы, Raspberry Pi за 35 дорого и не потянет по производительности, поэтому в... весь текст скрыт [показать]
     
     
  • 2.28, Аноним, 09:16, 28/04/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –2 +/
    которая ВНЕЗАПНО еще медленней ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.32, ak, 10:14, 28/04/2017 [^] [ответить] [смотреть все]  
  • +/
    сказочник
     
  • 3.34, кэп, 10:18, 28/04/2017 [^] [ответить] [смотреть все]  
  • +/
    С какого перепугу оно медленней Оно заметно шустрее, особенно сетевуха Единст... весь текст скрыт [показать]
     
     
  • 4.40, ak, 10:51, 28/04/2017 [^] [ответить] [смотреть все]  
  • +/
    не единственная некоторые питают плату маломощными адаптерами результат непредс... весь текст скрыт [показать]
     
  • 1.5, Sabakwaka, 23:11, 27/04/2017 [ответить] [смотреть все]  
  • +4 +/
    >> По моему опыту безопасники всегда являлись основным источником дыр...

    nomx — не безопасники, а болгены.

     
  • 1.6, Аноним, 23:17, 27/04/2017 [ответить] [смотреть все]  
  • +3 +/
    Про создателя nomx написано W L Donaldson is a cybersecurity expert , но в ... весь текст скрыт [показать]
     
  • 1.7, Аноним, 23:53, 27/04/2017 [ответить] [смотреть все]  
  • –6 +/
    А теперь вопрос кого будут слушать, анонимуса или компанию с банковскими счетами... весь текст скрыт [показать]
     
     
  • 2.37, Аноним, 10:28, 28/04/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    имеющий уши да услышит откровения Сноудена тоже не сильно как-то людей вразум... весь текст скрыт [показать] [показать ветку]
     
  • 2.45, Аноним, 12:46, 28/04/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Это нас, анонимусов, слушать не будут А Скотт, хоть шарашкина контора и называе... весь текст скрыт [показать] [показать ветку]
     
  • 2.53, YetAnotherOnanym, 13:57, 28/04/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Во-первых, таки не анонимус, а во-вторых, за спиной мистера Хельме стоит Британс... весь текст скрыт [показать] [показать ветку]
     
  • 1.8, Аноним, 23:55, 27/04/2017 [ответить] [смотреть все]  
  • +/
    Из статьи непонятно, что же делает это уберустройство.
     
     
  • 2.10, Аноним, 00:19, 28/04/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +25 +/
    оно делает их богаче.
     
  • 2.74, Sabakwaka, 16:55, 28/04/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Это SMTP сервер, сконфигурированный без DNS и без MX записей Все данные статиче... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.78, Аноним, 18:21, 28/04/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Невнимательно читал Во-первых, API GoDaddy используется в качестве замены DDNS,... весь текст скрыт [показать]
     
     
  • 4.86, Sabakwaka, 18:46, 29/04/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    Да ну Да ну Понял, ты пользователь nomx, у тебя восемь боксов, теб... весь текст скрыт [показать]
     
     
  • 5.87, Аноним, 23:01, 29/04/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    Чего разданукался Пойди по ссылкам и почитай А если инглиш не понимаешь, то хо... весь текст скрыт [показать]
     
  • 1.9, Noteme, 00:12, 28/04/2017 [ответить] [смотреть все]  
  • +1 +/
    Ничего удивительного. У нас делают точно также. В буклетах и на сайте чего только не понаписано, а внутри - софт мало того что дырявый, да еще и ворованный.
     
     
  • 2.11, Crazy Alex, 00:44, 28/04/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +7 +/
    Ну, мошенников везде хватает. Но какова наглость... Аж завидно слегка, я б так не рискнул
     
     
  • 3.12, Аноним84701, 01:04, 28/04/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Помню, лет десять назад шустро впаривали шифровальные адаптеры для хардов В ... весь текст скрыт [показать]
     
  • 2.43, тоже Аноним, 12:13, 28/04/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +5 +/
    Вот неправда ваша У нас так не делают У нас делают программно-аппаратный компл... весь текст скрыт [показать] [показать ветку]
     
  • 1.13, all_glory_to_the_hypnotoad, 01:12, 28/04/2017 [ответить] [смотреть все]  
  • –6 +/
    Какая разнрица от какого они года, эта смесь дерьма в принципе не может иметь ни... весь текст скрыт [показать]
     
     
  • 2.14, Ilya Indigo, 02:11, 28/04/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –4 +/
    Обоснуйте Ваш выс казывание А также напомните, какие за 2 года уязвимости, с... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.16, Аноним, 03:03, 28/04/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    Из недавнего http blog checkpoint com 2016 12 27 check-point-discovers-three-z... весь текст скрыт [показать]
     
     
  • 4.23, A.Stahl, 07:07, 28/04/2017 [^] [ответить] [смотреть все]  
  • +/
    А в Форте секьюрити дыр не находили уже лет 20 Да на том же РНР в месяц пишется... весь текст скрыт [показать]
     
     
  • 5.25, Харли, 07:19, 28/04/2017 [^] [ответить] [смотреть все]  
  • +/
    Тут дело то не в собственно кривости гаечного ключа, а в генетической бестолково... весь текст скрыт [показать]
     
     
  • 6.27, anomymous, 07:58, 28/04/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Хипстеры, эксклюзивность, Nomx, вот это всё.
    А на "ключе" просто пишут.
     
  • 6.38, Аноним, 10:29, 28/04/2017 [^] [ответить] [смотреть все]  
  • +/
    а толк в том, что обуви на всех хватало ... весь текст скрыт [показать]
     
     
  • 7.42, Харли, 11:44, 28/04/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    не обуви, а гуана. собственно о чем и речь
     
     
  • 8.47, Аноним, 13:00, 28/04/2017 [^] [ответить] [смотреть все]  
  • +/
    Посмотрел бы я на мусью в туфельках после дождичка за городом ... весь текст скрыт [показать]
     
     
  • 9.63, Crazy Alex, 15:23, 28/04/2017 [^] [ответить] [смотреть все]  
  • +/
    Суть не в том А в том, что хорошие туфельки купить проблематично было даже если... весь текст скрыт [показать]
     
     
  • 10.69, Аноним, 15:44, 28/04/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    в Приэльбрусьи?


     
  • 5.61, Аноним, 15:18, 28/04/2017 [^] [ответить] [смотреть все]  
  • +/
    Что это говорит о качествах языка ... весь текст скрыт [показать]
     
  • 3.54, YetAnotherOnanym, 14:15, 28/04/2017 [^] [ответить] [смотреть все]  
  • +/
    Выберите сами, какие Вам больше по вкусу http cve mitre org cgi-bin cvekey cg... весь текст скрыт [показать]
     
     
  • 4.85, Аноним, 16:52, 29/04/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Вы сами-то по своим ссылкам  читали? Где там уязвимости _языка_?
     
  • 3.84, all_glory_to_the_hypnotoad, 16:49, 29/04/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    нифгасе ты нaдрoчил минусов Первая проблема пыха это слишком большое кол-во ос... весь текст скрыт [показать]
     
  • 1.15, Аноним, 02:24, 28/04/2017 [ответить] [смотреть все]  
  • –1 +/
    Скот еще случайно набрел на postfixadmin, правда он похоже сам того не понял.
     
  • 1.17, Аноним, 03:42, 28/04/2017 [ответить] [смотреть все]  
  • +/
    Да что же это за хрень такая?
     
  • 1.18, Дог, 04:27, 28/04/2017 [ответить] [смотреть все]  
  • +2 +/
    Сейчас это называется не мошенничество, а маркетинг.
     
     
  • 2.22, Аноним, 06:27, 28/04/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Оно всегда называлось маркетинг ... весь текст скрыт [показать] [показать ветку]
     
  • 2.31, хрю, 09:54, 28/04/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    оно всегда называлось обман, а мошенничество и маркетинг это уже веяния последни... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.39, Аноним, 10:31, 28/04/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    издержки капиталистического подхода, увы ... весь текст скрыт [показать]
     
     
     
     
    Часть нити удалена модератором

  • 6.70, Аноним, 15:48, 28/04/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Единая Россия не оглашает свои тарифы Но понятно же, что на выборах любого ур... весь текст скрыт [показать]
     
  • 4.51, Аноним, 13:46, 28/04/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    Северная Корея - наше будущее Но сначала переходный демократический период туре... весь текст скрыт [показать]
     
  • 3.41, Аноним Аналитег, 10:56, 28/04/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    Вспомнилось интервью одного из производителей шоколадок, на вопрос стоит ли жда... весь текст скрыт [показать]
     
     
  • 4.57, anonymous., 15:07, 28/04/2017 [^] [ответить] [смотреть все]  
  • +/
    Причем это практикуется давно..
     
  • 1.44, Аноним, 12:32, 28/04/2017 [ответить] [смотреть все]  
  • –3 +/
    Это устройство работает на свободном ПО!
     
  • 1.46, ALex_hha, 12:58, 28/04/2017 [ответить] [смотреть все]  
  • +/
    > Компания nomx отрицает наличие уязвимости и проблем с безопасностью, указывая, что устройство успешно прошло все тесты на безопасность и ни один пользователь не был скомпрометирован

    но видать умалчивают тот факт, что тесты проводились специалистами по безопасности их фирмы. Тогда понятно, почему не было найдено ни одной проблемы.

     
  • 1.49, Аноним, 13:25, 28/04/2017 [ответить] [смотреть все]  
  • +2 +/
    да это же прям как казённая сертификация непотребного хлама за деньги... весь текст скрыт [показать]
     
     
  • 2.62, Аноним, 15:22, 28/04/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    только без сертификата и денег Зачем тратиться, если можно просто сказать, ч... весь текст скрыт [показать] [показать ветку]
     
  • 1.52, Аноним, 13:55, 28/04/2017 [ответить] [смотреть все]  
  • +2 +/
    Так у нас давно уже https www rutoken ru images content rutoken_vpn_max png т... весь текст скрыт [показать]
     
     
  • 2.68, Аноним, 15:37, 28/04/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Ну у этих хоть корпус нормальный ... весь текст скрыт [показать] [показать ветку]
     
  • 1.55, ALex_hha, 14:39, 28/04/2017 [ответить] [смотреть все]  
  • +/
    Кстати на сайте nomx, они полностью опровергают заявление о дырявости. Факты в свою защиту особо доставляют

    Security Testing of a Rooted nomx Device:

    The BBC provided the nomx devices for testing to a UK-based blogger who physically disassembled and rooted one of the nomx devices. Rooting was done, in his words, by disassembling the nomx case, physically removing memory card from the Raspberry and inserting it into his PC, and then resetting the root password. That is not an action a typical user would do, nor is it routine for a nomx device

    "That is not an action a typical user would do, nor is it routine for a nomx device" а как будет действовать типичный пользователь? Или под типичным пользователем они подразумевают блондинку? :facepalm:

    И это заявляет человек, который на сайте написал о себе

    About our founder
    W.L. Donaldson is a cybersecurity expert, entrepreneur and multi-patented inventor.

    Или я что то не понимаю или лыжи не едут :D

     
     
  • 2.89, Kuromi, 15:27, 30/07/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Первые читалки Nook first edition к удивлению любопытных юзеров вместо встроен... весь текст скрыт [показать] [показать ветку]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor