forum.opennet.ru

Составление сообщения

Исходное сообщение

"Система защищённых коммуникаций Nomx оказалась примером хала..."
Отправлено opennews, 27-Апр-17 22:55

Исследователь Скот Хельме при поддержке издания BBC  (Scott Helme (https://github.com/ScottHelme/)) провёл (https://scotthelme.co.uk/nomx-the-worlds-most-secure-communi.../) тестирование устройства
nomx (https://www.nomx.com), позиционируемого как реализация наиболее защищённого коммуникационного протокола ("The world’s most secure communications protocol. Everything else is insecure."). На деле, nomx оказался примером наплевательского отношения к безопасности, граничащим с жульничеством.

Младшая модель nomx продаётся по цене $199, а стоимость старшей модели для крупных корпоративных сетей  доходит до 10 тысяч долларов. Первое, что вызвало удивление стала начинка устройства. В корпусе была размещена обычная плата Raspberry Pi за 35 долларов, SD-карта и пара светодиодов.

Не меньшее  удивление вызвала программная начинка (https://github.com/ScottHelme/nomx) - на устройстве загружался дистрибутив Raspbian 7 (wheezy) с сильно устаревшими версиями пакетов, например сам дистрибутив обновлён 7 мая 2015 года, nginx и Dovecot от 2012 года, PHP  от 2015 года, OpenSSL и MySQL от 2016 года. При этом в системе не был предусмотрен  механизм установки  обновлений.

Web-интерфейс открывался по HTTP, не был защищён от CSRF-атак и содержал аккаунт, позволяющий войти с правами администратора введя логин "admin@example.com" и пароль "password". Упоминаемый в рекламе безопасный коммуникационный протокол nomx оказался обычным SMTP-сервером, не использующим MX-записи в DNS, с самоподписанным сертификатом, без настройки SPF, DKIM и DMARC, и с привязкой к API регистратора доменов  GoDaddy.
Компания nomx отрицает (https://www.nomx.com/) наличие уязвимости и проблем с безопасностью, указывая, что устройства успешно прошло все тесты на безопасность и ни один пользователь не был скомпрометирован (исследователь опубликовал эксплоит (https://github.com/ScottHelme/nomx/tree/master/csrf) и подробно описал технику CSRF-атаки, которую может повторить любой желающий, как и изучить состав прошивки (https://github.com/ScottHelme/nomx)). По поводу Raspberry Pi утверждается, что к исследователю в руки попал демонстрационный, а не серийный образец.
URL: https://scotthelme.co.uk/nomx-the-worlds-most-secure-communi.../
Новость: http://www.opennet.ru/opennews/art.shtml?num=46466

Исходное сообщение
"Система защищённых коммуникаций Nomx оказалась примером хала..." Отправлено opennews, 27-Апр-17 22:55
Исследователь Скот Хельме при поддержке издания BBC (Scott Helme (https://github.com/ScottHelme/)) провёл (https://scotthelme.co.uk/nomx-the-worlds-most-secure-communi.../) тестирование устройства nomx (https://www.nomx.com), позиционируемого как реализация наиболее защищённого коммуникационного протокола ("The world’s most secure communications protocol. Everything else is insecure."). На деле, nomx оказался примером наплевательского отношения к безопасности, граничащим с жульничеством. Младшая модель nomx продаётся по цене $199, а стоимость старшей модели для крупных корпоративных сетей доходит до 10 тысяч долларов. Первое, что вызвало удивление стала начинка устройства. В корпусе была размещена обычная плата Raspberry Pi за 35 долларов, SD-карта и пара светодиодов. Не меньшее удивление вызвала программная начинка (https://github.com/ScottHelme/nomx) - на устройстве загружался дистрибутив Raspbian 7 (wheezy) с сильно устаревшими версиями пакетов, например сам дистрибутив обновлён 7 мая 2015 года, nginx и Dovecot от 2012 года, PHP от 2015 года, OpenSSL и MySQL от 2016 года. При этом в системе не был предусмотрен механизм установки обновлений. Web-интерфейс открывался по HTTP, не был защищён от CSRF-атак и содержал аккаунт, позволяющий войти с правами администратора введя логин "admin@example.com" и пароль "password". Упоминаемый в рекламе безопасный коммуникационный протокол nomx оказался обычным SMTP-сервером, не использующим MX-записи в DNS, с самоподписанным сертификатом, без настройки SPF, DKIM и DMARC, и с привязкой к API регистратора доменов GoDaddy. Компания nomx отрицает (https://www.nomx.com/) наличие уязвимости и проблем с безопасностью, указывая, что устройства успешно прошло все тесты на безопасность и ни один пользователь не был скомпрометирован (исследователь опубликовал эксплоит (https://github.com/ScottHelme/nomx/tree/master/csrf) и подробно описал технику CSRF-атаки, которую может повторить любой желающий, как и изучить состав прошивки (https://github.com/ScottHelme/nomx)). По поводу Raspberry Pi утверждается, что к исследователю в руки попал демонстрационный, а не серийный образец. URL: https://scotthelme.co.uk/nomx-the-worlds-most-secure-communi.../ Новость: http://www.opennet.ru/opennews/art.shtml?num=46466

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Исследователь Скот Хельме при поддержке издания BBC  (Scott Helme (https://github.com/ScottHelme/)) 
> провёл (https://scotthelme.co.uk/nomx-the-worlds-most-secure-communications-protocol/) 
> тестирование устройства 
> nomx (https://www.nomx.com), позиционируемого как реализация наиболее защищённого коммуникационного 
> протокола ("The world’s most secure communications protocol. Everything else is 
> insecure."). На деле, nomx оказался примером наплевательского отношения к безопасности, 
> граничащим с жульничеством.

> Младшая модель nomx продаётся по цене $199, а стоимость старшей модели для 
> крупных корпоративных сетей  доходит до 10 тысяч долларов. Первое, что 
> вызвало удивление стала начинка устройства. В корпусе была размещена обычная плата 
> Raspberry Pi за 35 долларов, SD-карта и пара светодиодов.

> Не меньшее  удивление вызвала программная начинка (https://github.com/ScottHelme/nomx) 
> - на устройстве загружался дистрибутив Raspbian 7 (wheezy) с сильно устаревшими 
> версиями пакетов, например сам дистрибутив обновлён 7 мая 2015 года, nginx 
> и Dovecot от 2012 года, PHP  от 2015 года, OpenSSL 
> и MySQL от 2016 года. При этом в системе не был 
> предусмотрен  механизм установки  обновлений.

> Web-интерфейс открывался по HTTP, не был защищён от CSRF-атак и содержал аккаунт, 
> позволяющий войти с правами администратора введя логин "admin@example.com" и пароль "password". 
> Упоминаемый в рекламе безопасный коммуникационный протокол nomx оказался обычным SMTP-сервером, 
> не использующим MX-записи в DNS, с самоподписанным сертификатом, без настройки SPF, 
> DKIM и DMARC, и с привязкой к API регистратора доменов  
> GoDaddy.

> Компания nomx отрицает (https://www.nomx.com/) наличие уязвимости и проблем с безопасностью, 
> указывая, что устройства успешно прошло все тесты на безопасность и ни 
> один пользователь не был скомпрометирован (исследователь опубликовал эксплоит (https://github.com/ScottHelme/nomx/tree/master/csrf) 
> и подробно описал технику CSRF-атаки, которую может повторить любой желающий, как 
> и изучить состав прошивки (https://github.com/ScottHelme/nomx)). По поводу Raspberry 
> Pi утверждается, что к исследователю в руки попал демонстрационный, а не 
> серийный образец.

> URL: https://scotthelme.co.uk/nomx-the-worlds-most-secure-communications-protocol/ 
 
> Новость: http://www.opennet.ru/opennews/art.shtml?num=46466

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру